Visualisieren gesammelter Daten auf der Seite "Übersicht"

Nachdem Sie Ihre Datenquellen mit Microsoft Sentinel verbunden haben, verwenden Sie die Seite Übersicht, um Aktivitäten in Ihrer Umgebung anzuzeigen, zu überwachen und zu analysieren. In diesem Artikel werden die Widgets und Diagramme beschrieben, die im Übersichtsdashboard von Microsoft Sentinel verfügbar sind, einschließlich Einblicke in Vorfälle, Automatisierungseffizienz, Datenaufnahme und Analyseregelstatus, die Ihnen helfen, den Sicherheitsstatus Ihrer Umgebung schnell zu bewerten.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Bevor Sie auf die Seite "Übersicht" zugreifen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

Zugreifen auf die Übersichtsseite

Wenn Ihr Arbeitsbereich in das Microsoft Defender-Portal integriert ist, wählen Sie Allgemeine > Übersicht aus. Wählen Sie andernfalls direkt Übersicht aus. Zum Beispiel:

Screenshot des Übersichts-Dashboards von Microsoft Sentinel.

Die Daten für jeden Abschnitt des Übersichtsdashboards werden vorab berechnet, und die letzte Aktualisierungszeit wird oben in jedem Abschnitt angezeigt. Wählen Sie oben auf der Seite Aktualisieren aus, um die gesamte Seite zu aktualisieren.

Anzeigen von Incidentdaten

Um Rauschen zu reduzieren und die Anzahl der Warnungen zu minimieren, die Sie überprüfen und untersuchen müssen, verwendet Microsoft Sentinel eine Fusionstechnik, um Warnungen mit Incidents zu korrelieren. Incidents sind umsetzbare Gruppen verwandter Warnungen, die Sie untersuchen und beheben können.

Die folgende Abbildung zeigt ein Beispiel für den Abschnitt Incidents im Dashboard Übersicht:

Screenshot des Bereichs „Incidents“ auf der Übersichtsseite von Microsoft Sentinel.

Im Abschnitt Incidents werden die folgenden Daten aufgelistet:

  • Die Anzahl der neuen, aktiven und geschlossenen Vorfälle in den letzten 24 Stunden.
  • Die Gesamtzahl der Vorfälle für jeden Schweregrad.
  • Die Anzahl der geschlossenen Vorfälle jeder Art von Abschlussklassifizierung.
  • Incidentstatus nach Erstellungszeit in Intervallen von vier Stunden.
  • Die mittlere Zeit zum Bestätigen eines Vorfalls und der mittleren Zeit zum Schließen eines Vorfalls mit einem Link zur SOC-Effizienzarbeitsmappe . Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.

Wählen Sie Incidents verwalten aus, um für weitere Details zur Microsoft Sentinel-Seite Incidents zu springen.

Anzeigen von Automatisierungsdaten

Überwachen Sie nach der Bereitstellung der Automatisierung mit Microsoft Sentinel die Automatisierung in Ihrem Arbeitsbereich im Abschnitt Automatisierung des Dashboards Übersicht.

Screenshot des Abschnitts

  • Beginnen Sie mit einer Zusammenfassung der Aktivität der Automatisierungsregeln: durch Automatisierung geschlossene Incidents, die durch die Automatisierung eingesparte Zeit und den Status der zugehörigen Playbooks.

    Microsoft Sentinel berechnet die durch die Automatisierung eingesparte Zeit, indem die durchschnittliche Zeit ermittelt wird, die eine einzelne Automatisierung gespeichert hat, multipliziert mit der Anzahl von Incidents, die durch Automatisierung behoben werden. Die Formel lautet wie folgt:

    (avgWithout - avgWith) * resolvedByAutomation

    Dabei gilt:

    • avgWithout ist die durchschnittliche Zeit, die benötigt wird, bis ein Incident ohne Automatisierung behoben wird.
    • avgWith ist die durchschnittliche Zeit, die benötigt wird, bis ein Incident durch Automatisierung behoben wird.
    • resolvedByAutomation ist die Anzahl der Incidents, die durch Automatisierung behoben werden.
  • Das Diagramm für Automatisierungsaktionen fasst die Anzahl der von der Automatisierung ausgeführten Aktionen nach Aktionstyp zusammen.

  • Der Abschnitt enthält auch die Anzahl der aktiven Automatisierungsregeln mit einem Link zur Automatisierungsseite .

Wählen Sie den Link Automatisierungsregeln konfigurieren aus, um die Seite Automatisierung zu wechseln, auf der Sie mehr Automatisierung konfigurieren können.

Status von Datensätzen, Datensammlern und Bedrohungsinformationen anzeigen

Verfolgen Sie im Abschnitt Daten des Dashboard Übersicht Informationen zu Datensätzen, Datensammlern und Threat Intelligence nach.

Screenshot des Abschnitts „Daten“ auf der Microsoft Sentinel-Übersichtsseite.

Sehen Sie sich die folgenden Details an:

  • Die Anzahl der Datensätze, die Microsoft Sentinel in den letzten 24 Stunden im Vergleich zu den vorherigen 24 Stunden erfasst hat, sowie die in diesem Zeitraum erkannten Anomalien.

  • Eine Zusammenfassung des Status Ihrer Datenkonnektoren, unterteilt in fehlerhafte und aktive Konnektoren. Fehlerhafte Konnektoren geben an, wie viele Konnektoren fehlerhaft sind. Aktive Konnektoren sind Konnektoren, die Daten an Microsoft Sentinel streamen, gemessen anhand einer im Konnektor enthaltenen Abfrage.

  • Threat-Intelligence-Datensätze in Microsoft Sentinel nach Kompromittierungsindikator.

Wählen Sie Connectors verwalten aus, um zur Seite Datenconnectors zu gelangen, auf der Sie Ihre Datenconnectors anzeigen und verwalten können.

Anzeigen von Analysedaten

Verfolgen Sie die Daten für Ihre Analyseregeln im Abschnitt Analysen des Dashboards Übersicht.

Screenshot des Abschnitts „Analytics“ auf der Microsoft Sentinel-Übersichtsseite.

Die Anzahl der Analyseregeln in Microsoft Sentinel wird nach Status angezeigt, darunter aktiviert, deaktiviert und automatisch deaktiviert.

Wählen Sie den Link MITRE-Ansicht aus, um zum MITRE ATT&CK zu wechseln, wo Sie anzeigen können, wie Ihre Umgebung vor MITRE ATT&CK-Taktiken und -Techniken geschützt ist. Wählen Sie den Link Analyseregeln verwalten aus, um zur Seite Analyse zu gelangen, auf der Sie die Regeln anzeigen und verwalten können, die die Auslösung von Warnungen konfigurieren.

Nächste Schritte