Visualizzare i dati raccolti nella pagina Panoramica

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Dopo aver connesso le origini dati a Microsoft Sentinel, usare la pagina Panoramica per visualizzare, monitorare e analizzare le attività nell'ambiente. Questo articolo descrive i widget e i grafici disponibili nel dashboard Panoramica di Microsoft Sentinel.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Prerequisiti

Accedere alla pagina Panoramica

Se l'area di lavoro è stata caricata nel portale di Microsoft Defender, selezionare Panoramica generale>. In caso contrario, selezionare Direttamente Panoramica . Ad esempio:

Screenshot del dashboard panoramica Microsoft Sentinel.

I dati per ogni sezione del dashboard vengono precalcolati e l'ora dell'ultimo aggiornamento viene visualizzata nella parte superiore di ogni sezione. Selezionare Aggiorna nella parte superiore della pagina per aggiornare l'intera pagina.

Visualizzare i dati degli eventi imprevisti

Per ridurre il rumore e ridurre al minimo il numero di avvisi che è necessario esaminare e analizzare, Microsoft Sentinel usa una tecnica di fusione per correlare gli avvisi in eventi imprevisti. Gli eventi imprevisti sono gruppi interattivi di avvisi correlati da analizzare e risolvere.

L'immagine seguente mostra un esempio della sezione Eventi imprevisti nel dashboard Panoramica :

Screenshot della sezione Eventi imprevisti nella pagina Panoramica Microsoft Sentinel.

Nella sezione Eventi imprevisti sono elencati i dati seguenti:

  • Numero di eventi imprevisti nuovi, attivi e chiusi nelle ultime 24 ore.
  • Numero totale di eventi imprevisti di ogni gravità.
  • Numero di eventi imprevisti chiusi di ogni tipo di classificazione di chiusura.
  • Stati degli eventi imprevisti in base all'ora di creazione, in intervalli di quattro ore.
  • Tempo medio per riconoscere un evento imprevisto e tempo medio per chiudere un evento imprevisto, con un collegamento alla cartella di lavoro dell'efficienza soc.

Selezionare Gestisci eventi imprevisti per passare alla pagina eventi imprevisti Microsoft Sentinel per altri dettagli.

Visualizzare i dati di automazione

Dopo aver distribuito l'automazione con Microsoft Sentinel, monitorare l'automazione dell'area di lavoro nella sezione Automazione del dashboard Panoramica.

Screenshot della sezione Automazione nella pagina Panoramica Microsoft Sentinel.

  • Iniziare con un riepilogo dell'attività delle regole di automazione: eventi imprevisti chiusi dall'automazione, tempo di salvataggio dell'automazione e integrità dei playbook correlati.

    Microsoft Sentinel calcola il tempo risparmiato dall'automazione individuando il tempo medio salvato da una singola automazione, moltiplicato per il numero di eventi imprevisti risolti dall'automazione. La formula è la seguente:

    (avgWithout - avgWith) * resolvedByAutomation

    Dove:

    • avgWithout è il tempo medio necessario per risolvere un evento imprevisto senza automazione.
    • avgWith è il tempo medio necessario per risolvere un evento imprevisto tramite l'automazione.
    • resolvedByAutomation è il numero di eventi imprevisti risolti dall'automazione.

  • Sotto il riepilogo, un grafico riepiloga il numero di azioni eseguite dall'automazione, per tipo di azione.

  • Nella parte inferiore della sezione trovare un conteggio delle regole di automazione attive con un collegamento alla pagina Automazione .

Selezionare il collegamento configura regole di automazione alla pagina di automazione , in cui è possibile configurare più automazione.

Visualizzare lo stato di record di dati, agenti di raccolta dati e intelligence sulle minacce

Nella sezione Dati del dashboard Panoramica tenere traccia delle informazioni su record di dati, agenti di raccolta dati e intelligence sulle minacce.

Screenshot della sezione Dati nella pagina Panoramica Microsoft Sentinel.

Visualizzare i dettagli seguenti:

  • Numero di record che Microsoft Sentinel raccolti nelle ultime 24 ore, rispetto alle 24 ore precedenti, e anomalie rilevate in tale periodo di tempo.

  • Riepilogo dello stato del connettore dati, diviso per connettori non integri e attivi. I connettori non integri indicano quanti connettori presentano errori. I connettori attivi sono connettori con flusso di dati in Microsoft Sentinel, come misurato da una query inclusa nel connettore.

  • Record di intelligence sulle minacce in Microsoft Sentinel, per indicatore di compromissione.

Selezionare Gestisci connettori per passare alla pagina Connettori dati , in cui è possibile visualizzare e gestire i connettori dati.

Visualizzare i dati di analisi

Tenere traccia dei dati per le regole di analisi nella sezione Analisi del dashboard Panoramica .

Screenshot della sezione Analisi nella pagina Panoramica Microsoft Sentinel.

Il numero di regole di analisi in Microsoft Sentinel viene visualizzato in base allo stato, inclusi abilitato, disabilitato e disattivato automaticamente.

Selezionare il collegamento di visualizzazione MITRE per passare a MITRE ATT&CK, dove è possibile visualizzare come l'ambiente è protetto da MITRE ATT&tattiche e tecniche CK. Selezionare il collegamento Gestisci regole di analisi per passare alla pagina Analisi , in cui è possibile visualizzare e gestire le regole che configurano la modalità di attivazione degli avvisi.

Passaggi successivi

  • Last updated on