Visualisieren gesammelter Daten

  • Artikel

In diesem Artikel erfahren Sie, wie Sie die Vorgänge in Ihrer Umgebung mithilfe von Microsoft Sentinel schnell anzeigen und überwachen können. Nachdem Sie Ihre Datenquellen mit Microsoft Sentinel verbunden haben, stehen Ihnen sofort Datenvisualisierungen und -analysen zur Verfügung, die Informationen zu allen Vorgängen in Ihren verbundenen Datenquellen liefern. Microsoft Sentinel bietet Ihnen Arbeitsmappen mit den leistungsstarken Funktionen der bereits in Azure verfügbaren Tools sowie integrierte Tabellen und Diagramme mit Analysen für Ihre Protokolle und Abfragen. Sie können entweder Arbeitsmappenvorlagen verwenden oder mühelos eine komplett neue Arbeitsmappe oder auf der Grundlage einer vorhandenen Arbeitsmappe eine eigene Arbeitsmappe erstellen.

Visualisierung

Bevor Sie die Vorgänge in Ihrer Umgebung visualisieren und analysieren, sollten Sie zunächst einen Blick auf das Übersichtsdashboard werfen, um eine Vorstellung vom Sicherheitsstatus Ihrer Organisation zu bekommen. Um Fehlinformationen zu reduzieren und die Anzahl von Warnungen zu minimieren, die Sie überprüfen und untersuchen müssen, korreliert Microsoft Sentinel Warnungen mithilfe einer Zusammenführungstechnik zu Incidents. Incidents sind Gruppen von verwandten Warnungen, die zusammen einen handlungsrelevanten Incident bilden, den Sie untersuchen und beheben können.

Wählen Sie im Azure-Portal Microsoft Sentinel und anschließend den Arbeitsbereich aus, den Sie überwachen möchten.

Screenshot of the Microsoft Sentinel overview page.

Wenn Sie die Daten für alle Abschnitte des Dashboards aktualisieren möchten, wählen Sie oben auf dem Dashboard Aktualisieren aus. Um die Leistung zu verbessern, werden die Daten für jeden Abschnitt des Dashboards vorab berechnet. Die Aktualisierungszeit wird jeweils oben in den einzelnen Abschnitten angezeigt.

Anzeigen von Incidentdaten

Unter Incidents werden verschiedene Arten von Incidentdaten angezeigt.

Screenshot of the Incidents section in the Microsoft Sentinel Overview page.

  • Links oben wird die Anzahl neuer, aktiver und geschlossener Incidents der letzten 24 Stunden angezeigt.
  • Rechts oben sind Incidents nach Schweregrad sowie geschlossene Incidents nach Abschlussklassifizierung angegeben.
  • Links unten befindet sich ein Graph, in dem der Incidentstatus in vierstündigen Intervallen nach Erstellungszeit aufgeschlüsselt wird.
  • Rechts unten finden Sie die mittlere Zeit bis zur Bestätigung eines Incidents und die mittlere Zeit bis zum Abschluss sowie einen Link zur Arbeitsmappe für die SOC-Effizienz.

Anzeigen von Automatisierungsdaten

Unter Automatisierung werden verschiedene Arten von Automatisierungsdaten angezeigt.

Screenshot of the Automation section in the Microsoft Sentinel Overview page.

  • Oben sind die Aktivitäten der Automatisierungsregeln zusammengefasst: durch die Automatisierung geschlossene Incidents, Zeitersparnis durch die Automatisierung und Integrität der zugehörigen Playbooks.
  • Unterhalb der Zusammenfassung ist die Anzahl der von der Automatisierung ausgeführten Aktionen nach Aktionstyp zusammengefasst.
  • Unten finden Sie die Anzahl aktiver Automatisierungsregeln sowie einen Link zum Automatisierungsblatt.

Anzeigen des Status von Datensätzen, Datensammlern und Threat Intelligence

Unter Daten werden verschiedene Arten von Daten zu Datensätzen, Datensammlern und Threat Intelligence angezeigt.

Screenshot of the Data section in the Microsoft Sentinel Overview page.

  • Auf der linken Seite befindet sich ein Graph mit der Anzahl von Datensätzen, die Microsoft Sentinel in den letzten 24 Stunden gesammelt hat. Des Weiteren enthält der Graph einen Vergleich zu den vorherigen 24 Stunden sowie Anomalien, die in diesem Zeitraum erkannt wurden.
  • Rechts oben befindet sich eine Zusammenfassung des Datenconnectorstatus, unterteilt nach fehlerhaften und aktiven Connectors. Fehlerhafte Connectors gibt an, wie viele Connectors Fehler aufweisen. Aktive Connectors sind Connectors, die Daten an Microsoft Sentinel streamen (gemessen mithilfe einer im Connector enthaltenen Abfrage).
  • Rechts unten sehen Sie Threat Intelligence-Datensätze in Microsoft Sentinel, aufgeschlüsselt nach Indikator für die Kompromittierung.

Anzeigen von Analysedaten

Unter Analytics werden Daten für Analyseregeln angezeigt.

Screenshot of the Analytics section in the Microsoft Sentinel Overview page.

Hier sehen Sie, wie viele Analyseregeln in Microsoft Sentinel aktiviert, deaktiviert oder automatisch deaktiviert sind.

Verwenden von Arbeitsmappenvorlagen

Arbeitsmappenvorlagen stellen integrierte Daten aus Ihren verbundenen Datenquellen bereit, mit deren Hilfe Sie die in diesen Diensten generierten Ereignisse untersuchen können. Arbeitsmappenvorlagen beinhalten Daten von Microsoft Entra ID, Azure-Aktivitätsereignissen und Daten von lokalen Systemen, bei denen es sich um Daten aus Windows-Ereignissen von Servern, Warnungen von Erstanbieterlösungen und Daten von Drittanbieterlösungen handeln kann, die auf Windows-Ereignissen basieren (einschließlich Protokolle zum Firewalldatenverkehr, Office 365 und unsichere Protokolle). Die Arbeitsmappen basieren auf Azure Monitor-Arbeitsmappen, um Ihnen erweiterte Anpassungsmöglichkeiten und Flexibilität beim Entwerfen Ihrer eigenen Arbeitsmappe zu bieten. Weitere Informationen finden Sie unter Arbeitsmappen.

  1. Wählen Sie unter Einstellungen die Option Arbeitsmappen aus. Unter Meine Arbeitsmappen werden alle gespeicherten Arbeitsmappen angezeigt. Unter Vorlagen werden die installierten Arbeitsmappenvorlagen angezeigt. Weitere Arbeitsmappenvorlagen finden Sie im Inhaltshub in Microsoft Sentinel, um Produktlösungen oder eigenständige Inhalte zu installieren.
  2. Suchen Sie nach einer bestimmten Arbeitsmappe, um die ganze Liste und die Beschreibung des Funktionsumfangs der einzelnen Arbeitsmappen anzuzeigen.
  3. Wenn Sie Microsoft Entra ID verwenden, empfehlen wir Ihnen, die Microsoft Entra-Lösung für Microsoft Sentinel zu installieren und die folgenden Arbeitsmappen zu verwenden, um mit der Arbeit mit Microsoft Sentinel zu beginnen:

    • Microsoft Entra ID: Verwenden Sie eine oder beide der folgenden Optionen:

      • Microsoft Entra-Anmeldungen analysieren Anmeldungen im Zeitverlauf, um auf Anomalien zu überprüfen. In dieser Arbeitsmappe werden fehlgeschlagene Anmeldungen nach Anwendungen, Geräten und Orten sortiert angezeigt, sodass Sie auf einen Blick sehen können, ob etwas Ungewöhnliches geschieht. Achten Sie besonders auf mehrmals fehlgeschlagene Anmeldungen.
      • Microsoft Entra-Überwachungsprotokolle analysieren Administratoraktivitäten, z. B. Änderungen von Benutzern (Hinzufügen, Entfernen usw.), die Erstellung von Gruppen und andere Änderungen.

    • Installieren Sie die entsprechende Lösung, um eine Arbeitsmappe für Ihre Firewall hinzuzufügen. Installieren Sie beispielsweise die Palo Alto-Firewalllösung für Microsoft Sentinel, um die Palo Alto-Arbeitsmappen hinzuzufügen. Die Arbeitsmappen analysieren Ihren Firewalldatenverkehr, zeigen Korrelationen zwischen Ihren Firewalldaten und Bedrohungsereignissen auf und heben verdächtige Ereignisse entitätsübergreifend hervor. Arbeitsmappen liefern Ihnen Informationen zu Trends in Ihrem Datenverkehr und ermöglichen Ihnen das Anzeigen von Detailinformationen sowie das Filtern der Ergebnisse.

      Palo Alto dashboard

Sie können die Arbeitsmappen jeweils anpassen, indem Sie die Hauptabfrage über die query edit button bearbeiten. Sie können auf die Schaltfläche Log Analytics button klicken, um zu Log Analytics zu wechseln und die Abfrage dort zu bearbeiten. Sie können auch auf die Schaltfläche mit den Auslassungspunkten (…) und dann auf Kacheldaten anpassen klicken, um den Filter für die Hauptzeit zu bearbeiten oder bestimmte Kacheln aus der Arbeitsmappe zu entfernen.

Weitere Informationen zum Verwenden von Abfragen finden Sie unter Tutorial: Visualisieren von Daten in Log Analytics.

Hinzufügen einer neuen Kachel

Wenn Sie eine neue Kachel hinzufügen möchten, können Sie sie einer vorhandenen Arbeitsmappe hinzufügen (einer von Ihnen erstellten Arbeitsmappe oder einer integrierten Microsoft Sentinel-Arbeitsmappe).

  1. Erstellen Sie in Log Analytics eine Kachel, indem Sie den Anweisungen unter Visualisieren von Daten in Log Analytics folgen.
  2. Nachdem die Kachel erstellt wurde, wählen Sie unter Anheften die Arbeitsmappe aus, in der die Kachel angezeigt werden soll.

Erstellen neuer Arbeitsmappen

Sie können eine komplett neue Arbeitsmappe erstellen oder eine Arbeitsmappenvorlage als Grundlage für die neue Arbeitsmappe verwenden.

  1. Zum Erstellen einer komplett neuen Arbeitsmappe wählen Sie Arbeitsmappen aus, und klicken Sie dann auf +Neue Arbeitsmappe.
  2. Wählen Sie das Abonnement aus, in dem Sie die Arbeitsmappe erstellen, und geben Sie einen beschreibenden Namen ein. Jede Arbeitsmappe ist eine normale Azure-Ressource. Sie können ihr Rollen zuweisen (rollenbasierte Zugriffssteuerung; Role-Based Access Control, Azure RBAC), um die zugriffsberechtigten Benutzer festzulegen und einzuschränken.
  3. Damit die Arbeitsmappe in Ihren Arbeitsmappen angezeigt wird und Visualisierungen angeheftet werden können, müssen Sie sie freigeben. Klicken Sie auf Freigeben und dann auf Benutzer verwalten.
  4. Verwenden Sie die Optionen Zugriff überprüfen und Rollenzuweisungen wie bei jeder anderen Azure-Ressource. Weitere Informationen finden Sie unter Freigeben von Azure-Arbeitsmappe mithilfe der rollenbasierten Zugriffssteuerung (Azure RBAC).

Beispiele für neue Arbeitsmappen

Mit der folgenden Beispielabfrage können Sie Datenverkehrstrends über mehrere Wochen hinweg vergleichen. Sie können den Gerätehersteller und die Datenquelle, für den bzw. die Sie die Abfrage ausführen, ganz einfach ändern. In diesem Beispiel wird „SecurityEvent“ von Windows verwendet. Sie können die Abfrage ändern, um sie für eine beliebige andere Firewall für „AzureActivity“ oder „CommonSecurityLog“ auszuführen.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Möglicherweise möchten Sie eine Abfrage erstellen, die Daten aus mehreren Quellen umfasst. Sie können eine Abfrage erstellen, die in Microsoft Entra-Überwachungsprotokollen nach neu erstellten Benutzern sucht und dann in Ihren Azure-Protokollen überprüft, ob der jeweilige Benutzer innerhalb von 24 Stunden nach der Erstellung begonnen hat, Änderungen an Rollenzuweisungen vorzunehmen. Eine solche verdächtige Aktivität würde in diesem Dashboard angezeigt werden:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Sie können basierend auf der Rolle der Person, die die Daten anzeigt, und den gesuchten Daten verschiedene Arbeitsmappen erstellen. Sie können beispielsweise eine Arbeitsmappe für Ihren Netzwerkadministrator erstellen, die Firewalldaten enthält. Sie können auch Arbeitsmappen erstellen, die darauf basieren, wie häufig Sie diese ansehen wollen, ob es Dinge gibt, die Sie täglich überprüfen wollen, und andere, die Sie stündlich überprüfen wollen. Sie könnten beispielsweise Ihre Microsoft Entra-Anmeldungen stündlich überprüfen wollen, um nach Anomalien zu suchen.

Erstellen neuer Erkennungen

Erstellen Sie Erkennungen für die Datenquellen, die Sie mit Microsoft Sentinel verbunden haben, um Bedrohungen in Ihrer Organisation zu untersuchen.

Nutzen Sie beim Erstellen einer neuen Erkennung die von Microsoft-Sicherheitsexperten entwickelten Erkennungen, die auf die verbundenen Datenquellen zugeschnitten sind.

Navigieren Sie zum Anzeigen der installierten standardmäßig verfügbaren Erkennungen zu Analytics und dann zu Regelvorlagen. Diese Registerkarte enthält alle installierten Microsoft Sentinel-Regelvorlagen. Weitere Regelvorlagen finden Sie im Inhaltshub in Microsoft Sentinel, um die Produktlösungen oder eigenständigen Inhalte zu installieren.

Use built-in detections to find threats with Microsoft Sentinel

Weitere Informationen zum Abrufen von Standarderkennungen finden Sie unter Standardmäßig verfügbare Erkennung von Bedrohungen.

Nächste Schritte

Erkennen Sie Bedrohungen sofort und erstellen Sie benutzerdefinierte Bedrohungserkennungsregeln, um Ihre Reaktion auf Bedrohungen zu automatisieren.