在概觀頁面上視覺化已收集的資料

將資料來源連線到 Microsoft Sentinel 之後，請使用 [概觀] 頁面來檢視、監視和分析整個環境的活動。 本文說明 MPicrosoft Sentinel [概觀] 儀表板上可用的小工具與圖表。

必要條件

• 請確定您擁有 Microsoft Sentinel 資源的讀取者存取權。 如需詳細資訊，請參閱 Microsoft Sentinel 中的角色和許可權。

存取 [概觀] 頁面

如果您的工作區已上線至 Microsoft Defender 入口網站，請選取 [ 一般 > 概觀]。 否則，請直接選取 [概觀]。 例如：

儀表板的每個區段都會預先計算資料，最後一次重新整理時間會顯示在每個區段頂端。 選取頁面頂端的 [重新整理] 重新整理整個頁面。

檢視事件資料

為了協助減少雜訊並將您需要檢閱和調查的警示數目降到最低，Microsoft Sentinel 會使用融合技術將警示與 事件相互關聯。 事件是相關警示的可採取動作群組，可供您調查和解決。

下圖顯示[概觀] 儀表板上 [事件] 區段的範例：

[事件] 區段列出下列資料：

• 過去 24 小時內的全新、作用中和已關閉事件數目。
• 每個嚴重性的事件總數。
• 每個關閉分類類型的已關閉事件數目。
• 事件狀態會依建立時間，以四小時間隔為單位。
• 確認事件的平均時間和已關閉事件的平均時間，以及 SOC 效率活頁簿的連結。

選取 [管理事件]，以跳至 Microsoft Sentinel [事件] 頁面瞭解詳細資訊。

檢視自動化資料

使用 Microsoft Sentinel 部署自動化之後，請在 [概觀] 儀表板的 [自動化] 區段中監視工作區的自動化。

• 從自動化規則活動的摘要開始：自動化所關閉的事件、自動化儲存的時間，以及相關的劇本狀況。

  Microsoft Sentinel 藉由尋找單一自動化所儲存的平均時間，乘以自動化解決的事件數目，藉以計算自動化所節省的時間。 公式如下：

  (avgWithout - avgWith) * resolvedByAutomation

  其中：

  • avgWithout 是不需要自動化就能解決事件的平均時間。
  • avgWith 是自動化解決事件所需的平均時間。
  • resolvedByAutomation 是自動化所解決的事件數目。

• 摘要下方的圖表會依動作類型摘要說明自動化所執行的動作數目。

• 在區段底部，尋找使用中自動化規則的計數，其中包含 [自動化] 頁面的連結。

選取 [自動化] 頁面的 [設定自動化規則] 連結，您可以在其中設定更多自動化。

檢視資料記錄、資料收集器和威脅情報的狀態

在 [概觀] 儀表板的 [資料] 區段中，追蹤資料記錄、資料收集器和威脅情報的相關資訊。

檢視下列詳細資料：

• 在過去 24 小時內收集 Microsoft Sentinel 的記錄數目，與前 24 小時相比，以及在該期間偵測到的異常狀況。

• 資料連接器狀態的摘要，除以狀況不良和作用中連接器。 狀況不良的連接器 指出有多少連接器發生錯誤。 主動連接器 是那些將數據串流進入 Microsoft Sentinel 的連接器，這是由包含在連接器中的查詢所測量的。

• Microsoft Sentinel 中的威脅情報記錄，依入侵指標顯示。

選取 [管理連接器] 跳至 [資料連接器] 頁面，您可以在其中檢視和管理資料連接器。

檢視分析資料

在[概觀] 儀表板的 [分析] 區段中追蹤分析規則的資料。

Microsoft Sentinel 中的分析規則數目會依狀態顯示，包括已啟用、停用和自動停用。

選取 MITRE 檢視 連結以跳至 MITRE ATT&CK，您可以在其中檢視環境如何受到 MITRE ATT&CK 策略和技術的保護。 選取 [管理分析規則] 連結以跳至 [分析] 頁面，您可以在其中檢視和管理設定警示觸發方式的規則。

下一步

• 使用活頁簿範本深入探討整個環境所產生的事件。 如需詳細資訊，請參閱 在 Microsoft Sentinel 中使用活頁簿可視化和監視您的數據。

• 開啟 Log Analytics 查詢記錄，從您的工作區執行全部查詢。 如需詳細資訊，請參閱 稽核Microsoft Sentinel 查詢和活動。

• 瞭解[概觀] 儀表板小工具背後的查詢。 如需詳細資訊，請參閱 深入探討 Microsoft Sentinel 的新概觀儀錶板。