Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nachdem Sie Ihre Datenquellen mit Microsoft Sentinel verbunden haben, verwenden Sie die Seite Übersicht, um Aktivitäten in Ihrer Umgebung anzuzeigen, zu überwachen und zu analysieren. In diesem Artikel werden die Widgets und Diagramme beschrieben, die im Übersichtsdashboard von Microsoft Sentinel verfügbar sind, einschließlich Einblicke in Vorfälle, Automatisierungseffizienz, Datenaufnahme und Analyseregelstatus, die Ihnen helfen, den Sicherheitsstatus Ihrer Umgebung schnell zu bewerten.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Voraussetzungen
Bevor Sie auf die Seite "Übersicht" zugreifen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
- Stellen Sie sicher, dass Sie über Lesezugriff auf Microsoft Sentinel Ressourcen verfügen. Weitere Informationen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel.
Zugreifen auf die Übersichtsseite
Wenn Ihr Arbeitsbereich in das Microsoft Defender-Portal integriert ist, wählen Sie Allgemeine > Übersicht aus. Wählen Sie andernfalls direkt Übersicht aus. Zum Beispiel:
Die Daten für jeden Abschnitt des Übersichtsdashboards werden vorab berechnet, und die letzte Aktualisierungszeit wird oben in jedem Abschnitt angezeigt. Wählen Sie oben auf der Seite Aktualisieren aus, um die gesamte Seite zu aktualisieren.
Anzeigen von Incidentdaten
Um Rauschen zu reduzieren und die Anzahl der Warnungen zu minimieren, die Sie überprüfen und untersuchen müssen, verwendet Microsoft Sentinel eine Fusionstechnik, um Warnungen mit Incidents zu korrelieren. Incidents sind umsetzbare Gruppen verwandter Warnungen, die Sie untersuchen und beheben können.
Die folgende Abbildung zeigt ein Beispiel für den Abschnitt Incidents im Dashboard Übersicht:
Im Abschnitt Incidents werden die folgenden Daten aufgelistet:
- Die Anzahl der neuen, aktiven und geschlossenen Vorfälle in den letzten 24 Stunden.
- Die Gesamtzahl der Vorfälle für jeden Schweregrad.
- Die Anzahl der geschlossenen Vorfälle jeder Art von Abschlussklassifizierung.
- Incidentstatus nach Erstellungszeit in Intervallen von vier Stunden.
- Die mittlere Zeit zum Bestätigen eines Vorfalls und der mittleren Zeit zum Schließen eines Vorfalls mit einem Link zur SOC-Effizienzarbeitsmappe . Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Wählen Sie Incidents verwalten aus, um für weitere Details zur Microsoft Sentinel-Seite Incidents zu springen.
Anzeigen von Automatisierungsdaten
Überwachen Sie nach der Bereitstellung der Automatisierung mit Microsoft Sentinel die Automatisierung in Ihrem Arbeitsbereich im Abschnitt Automatisierung des Dashboards Übersicht.
Beginnen Sie mit einer Zusammenfassung der Aktivität der Automatisierungsregeln: durch Automatisierung geschlossene Incidents, die durch die Automatisierung eingesparte Zeit und den Status der zugehörigen Playbooks.
Microsoft Sentinel berechnet die durch die Automatisierung eingesparte Zeit, indem die durchschnittliche Zeit ermittelt wird, die eine einzelne Automatisierung gespeichert hat, multipliziert mit der Anzahl von Incidents, die durch Automatisierung behoben werden. Die Formel lautet wie folgt:
(avgWithout - avgWith) * resolvedByAutomationDabei gilt:
- avgWithout ist die durchschnittliche Zeit, die benötigt wird, bis ein Incident ohne Automatisierung behoben wird.
- avgWith ist die durchschnittliche Zeit, die benötigt wird, bis ein Incident durch Automatisierung behoben wird.
- resolvedByAutomation ist die Anzahl der Incidents, die durch Automatisierung behoben werden.
Das Diagramm für Automatisierungsaktionen fasst die Anzahl der von der Automatisierung ausgeführten Aktionen nach Aktionstyp zusammen.
Der Abschnitt enthält auch die Anzahl der aktiven Automatisierungsregeln mit einem Link zur Automatisierungsseite .
Wählen Sie den Link Automatisierungsregeln konfigurieren aus, um die Seite Automatisierung zu wechseln, auf der Sie mehr Automatisierung konfigurieren können.
Status von Datensätzen, Datensammlern und Bedrohungsinformationen anzeigen
Verfolgen Sie im Abschnitt Daten des Dashboard Übersicht Informationen zu Datensätzen, Datensammlern und Threat Intelligence nach.
Sehen Sie sich die folgenden Details an:
Die Anzahl der Datensätze, die Microsoft Sentinel in den letzten 24 Stunden im Vergleich zu den vorherigen 24 Stunden erfasst hat, sowie die in diesem Zeitraum erkannten Anomalien.
Eine Zusammenfassung des Status Ihrer Datenkonnektoren, unterteilt in fehlerhafte und aktive Konnektoren. Fehlerhafte Konnektoren geben an, wie viele Konnektoren fehlerhaft sind. Aktive Konnektoren sind Konnektoren, die Daten an Microsoft Sentinel streamen, gemessen anhand einer im Konnektor enthaltenen Abfrage.
Threat-Intelligence-Datensätze in Microsoft Sentinel nach Kompromittierungsindikator.
Wählen Sie Connectors verwalten aus, um zur Seite Datenconnectors zu gelangen, auf der Sie Ihre Datenconnectors anzeigen und verwalten können.
Anzeigen von Analysedaten
Verfolgen Sie die Daten für Ihre Analyseregeln im Abschnitt Analysen des Dashboards Übersicht.
Die Anzahl der Analyseregeln in Microsoft Sentinel wird nach Status angezeigt, darunter aktiviert, deaktiviert und automatisch deaktiviert.
Wählen Sie den Link MITRE-Ansicht aus, um zum MITRE ATT&CK zu wechseln, wo Sie anzeigen können, wie Ihre Umgebung vor MITRE ATT&CK-Taktiken und -Techniken geschützt ist. Wählen Sie den Link Analyseregeln verwalten aus, um zur Seite Analyse zu gelangen, auf der Sie die Regeln anzeigen und verwalten können, die die Auslösung von Warnungen konfigurieren.
Nächste Schritte
Verwenden Sie Arbeitsmappenvorlagen, um tiefer in Ereignisse einzutauchen, die in Ihrer Gesamten Umgebung generiert wurden. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Aktivieren Sie Log Analytics-Abfrageprotokolle, um alle Abfragen aus Ihrem Arbeitsbereich auszuführen. Weitere Informationen finden Sie unter Überwachen Microsoft Sentinel Abfragen und Aktivitäten.
Erfahren Sie mehr über die Abfragen, die in den Dashboard-Widgets Overview verwendet werden. Weitere Informationen finden Sie unter Ausführliche Informationen zum neuen Übersichts-Dashboard von Microsoft Sentinel.