Teilen über

Visualisieren gesammelter Daten auf der Übersichtsseite

  • Artikel
  • Gilt für:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nachdem Sie Ihre Datenquellen mit Microsoft Sentinel verbunden haben, verwenden Sie die Seite Übersicht, um Aktivitäten in Ihrer gesamten Umgebung anzuzeigen, zu überwachen und zu analysieren. In diesem Artikel werden die Widgets und Diagramme beschrieben, die im Dashboard Übersicht von Microsoft Sentinel verfügbar sind.

Wichtig

Microsoft Sentinel ist als Teil der vereinheitlichten Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Verwendung in der Produktion unterstützt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Zugreifen auf die Übersichtsseite

Wenn Ihr Arbeitsbereich in die einheitliche Security Operations-Plattform integriert ist, wählen Sie Allgemein > Übersicht aus. Wählen Sie andernfalls Übersicht direkt aus. Zum Beispiel:

Screenshot des Dashboards der Microsoft Sentinel-Übersicht.

Daten für jeden Abschnitt des Dashboards werden vorab berechnet, und die letzte Aktualisierungszeit wird oben in jedem Abschnitt angezeigt. Wählen Sie oben auf der Seite Aktualisieren aus, um die gesamte Seite zu aktualisieren.

Anzeigen von Incidentdaten

Um Fehlinformationen zu reduzieren und die Anzahl von Warnungen zu minimieren, die Sie überprüfen und untersuchen müssen,verwendet Microsoft Sentinel eine Fusionstechnik, um Warnungen zu Vorfällen zu korrelieren. Vorfälle sind umsetzbare Gruppen verwandter Warnungen, die Sie untersuchen und beheben können.

Die folgende Abbildung zeigt ein Beispiel für den Abschnitt Vorfälle im Dashboard Übersicht:

Screenshot: Abschnitt „Incidents“ auf der Übersichtsseite von Microsoft Sentinel

Der Abschnitt Vorfälle listet die folgenden Daten auf:

  • Die Anzahl neuer, aktiver und geschlossener Vorfälle der letzten 24 Stunden.
  • Die Gesamtzahl der Vorfälle jedes Schweregrads.
  • Die Anzahl geschlossener Vorfälle jeder Art der Abschlussklassifizierung.
  • Vorfallstatus nach Erstellungszeit in Intervallen von vier Stunden.
  • Die durchschnittliche Zeit bis zur Bestätigung eines Vorfalls und die durchschnittliche Zeit bis zum Abschluss eines Vorfalls, mit einem Link zur SOC-Effizienzarbeitsmappe.

Wählen Sie Vorfälle verwalten aus, um zur Microsoft Sentinel-Seite Vorfälle zu springen, um weitere Details zu erhalten.

Anzeigen von Automatisierungsdaten

Überwachen Sie nach der Bereitstellung der Automatisierung mit Microsoft Sentinel die Automatisierung Ihres Arbeitsbereichs im Abschnitt Automation des Dashboards Übersicht.

Screenshot: Abschnitt „Automatisierung“ auf der Übersichtsseite von Microsoft Sentinel

  • Beginnen Sie mit einer Zusammenfassung der Aktivitäten der Automatisierungsregeln: durch die Automatisierung geschlossene Incidents, Zeitersparnis durch die Automatisierung und Integrität der zugehörigen Playbooks.

    Microsoft Sentinel berechnet die durch die Automatisierung eingesparte Zeit, indem die durchschnittliche Zeit ermittelt wird, die eine einzelne Automatisierung eingespart hat, multipliziert mit der Anzahl der Vorfälle, die durch die Automatisierung behandelt wurden. Die Formel sieht wie folgt aus:

    (avgWithout - avgWith) * resolvedByAutomation

    Hierbei gilt:

    • avgWithout ist die durchschnittliche Zeit, bis ein Vorfall ohne Automatisierung aufgelöst werden muss.
    • avgWith ist die durchschnittliche Zeit für die Behebung eines Vorfalls durch die Automatisierung.
    • resolvedByAutomation ist die Anzahl der Vorfälle, die durch Automatisierung bereinigt werden.

  • Unterhalb der Zusammenfassung ist die Anzahl der von der Automatisierung ausgeführten Aktionen nach Aktionstyp zusammengefasst.

  • Unten im Abschnitt finden Sie die Anzahl aktiver Automatisierungsregeln mit einem Link zur Seite Automation.

Wählen Sie den Link Automatisierungsregeln konfigurieren aus, um zur Seite Automation zu springen, auf der Sie mehr Automatisierung konfigurieren können.

Anzeigen des Status von Datensätzen, Datensammlern und Threat Intelligence

Verfolgen Sie im Abschnitt Daten des Dashboards Übersicht Informationen zu Datensätzen, Datensammlern und Threat Intelligence.

Screenshot: Abschnitt „Daten“ auf der Übersichtsseite von Microsoft Sentinel

Sehen Sie sich die folgenden Details an:

  • Die Anzahl von Datensätzen, die Microsoft Sentinel in den letzten 24 Stunden gesammelt hat, verglichen mit den vorherigen 24 Stunden, sowie Anomalien, die in diesem Zeitraum erkannt wurden.

  • Eine Zusammenfassung des Status Ihres Datenconnectors, getrennt nach fehlerhaften und aktiven Connectors. Fehlerhafte Connectors gibt an, wie viele Connectors Fehler aufweisen. Aktive Connectors sind Connectors, die Daten an Microsoft Sentinel streamen (gemessen mithilfe einer im Connector enthaltenen Abfrage).

  • Threat Intelligence-Datensätze in Microsoft Sentinel, nach Indikator für die Kompromittierung.

Wählen Sie Connectors verwalten aus, um zur Seite Datenconnectors zu springen, auf der Sie Ihre Datenconnectors anzeigen und verwalten können.

Analysedaten anzeigen

Nachverfolgen von Daten für Ihre Analyseregeln im Abschnitt Analytics des Dashboards Übersicht.

Screenshot: Abschnitt „Analysen“ auf der Übersichtsseite von Microsoft Sentinel

Die Anzahl der Analyseregeln in Microsoft Sentinel wird nach Status angezeigt, einschließlich aktiviert, deaktiviert und automatisch deaktiviert.

Wählen Sie den Link MITRE-Ansicht aus, um zu MITRE ATT&CK zu springen, wo Sie sehen können, wie Ihre Umgebung vor MITRE ATT&CK-Taktiken und -Techniken geschützt ist. Wählen Sie den Link Analyseregeln verwalten aus, um zur Seite Analytics zu springen, auf der Sie die Regeln anzeigen und verwalten können, die konfigurieren, wie Warnungen ausgelöst werden.

Nächste Schritte