Häufig verwendete Microsoft Sentinel-Arbeitsmappen
In der folgenden Tabelle sind die am häufigsten verwendeten integrierten Microsoft Sentinel-Arbeitsmappen aufgeführt.
Greifen Sie in Microsoft Sentinel auf der linken Seite unter Bedrohungsmanagement>Arbeitsmappen auf Arbeitsmappen zu, und suchen Sie dann nach der Arbeitsmappe, die Sie verwenden möchten. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten.
Tipp
Es wird empfohlen, alle Arbeitsmappen bereitzustellen, die den zu erfassenden Daten zugeordnet sind. Arbeitsmappen ermöglichen eine umfassendere Überwachung und Untersuchung basierend auf Ihren gesammelten Daten.
Weitere Informationen finden Sie unter Verbinden von Datenquellen und Zentrales Erkennen und Bereitstellen von Microsoft Sentinel Out-of-the-Box-Inhalten und -Lösungen.
Arbeitsmappenname | Beschreibung |
---|---|
Analyseeffizienz | Mit dieser Arbeitsmappe gewinnen Sie Erkenntnisse über die Wirksamkeit Ihrer Analyseregeln, damit Sie eine bessere SOC-Leistung erzielen können. Weitere Informationen finden Sie im Artikel zum Toolkit für datengesteuerte SOCs. |
Azure-Aktivität | Mit dieser Arbeitsmappe gewinnen Sie umfassende Erkenntnisse über die Azure-Aktivität Ihrer Organisation, indem alle Benutzervorgänge und Ereignisse analysiert und korreliert werden. Weitere Informationen finden Sie unter Überwachen mit Azure-Aktivitätsprotokollen. |
Microsoft Entra-Überwachungsprotokolle | Verwendet Microsoft Entra-Überwachungsprotokolle, um Einblicke in Microsoft Entra-Szenarien zu bieten. Weitere Informationen finden Sie unter Schnellstart: Erste Schritte mit Microsoft Sentinel. |
Microsoft Entra-Überwachungs-, Aktivitäts- und Anmeldeprotokolle | Mit nur einer Arbeitsmappe erhalten Sie Erkenntnisse über Überwachungs-, Aktivitäts- und Anmeldedaten von Microsoft Entra. Zeigt Aktivitäten wie Anmeldungen nach Standort, Gerät, Fehlerursache oder Benutzeraktion an. Diese Arbeitsmappe kann sowohl von der Sicherheit als auch von Azure-Administratoren verwendet werden. |
Microsoft Entra-Anmeldeprotokolle | Verwendet Microsoft Entra-Anmeldeprotokolle, um Einblicke in Microsoft Entra-Szenarien zu bieten. |
Microsoft-Benchmark für Cloudsicherheit | Bietet eine zentrale Plattform für die Erfassung und Verwaltung von Daten, um die Kontrollanforderungen der Microsoft-Benchmark für Cloudsicherheit zu erfüllen, indem Daten von über 25 Microsoft-Sicherheitsprodukten zusammengefasst werden. Weitere Informationen finden Sie in unserem TechCommunity-Blog. |
Cybersecurity Maturity Model Certification (CMMC) | Diese Arbeitsmappe stellt einen Mechanismus zum Anzeigen von Protokollabfragen bereit, die auf CMMC-Steuerelemente im gesamten Microsoft-Portfolio ausgerichtet sind, darunter Microsoft-Sicherheitsangebote, Office 365, Teams, Intune, Azure Virtual Desktop und so weiter. Weitere Informationen finden Sie in unserem TechCommunity-Blog. |
Überwachung der Datenerfassungsintegrität / Nutzungsüberwachung | Bietet Informationen zum Datensammlungsstatus Ihres Arbeitsbereichs, z. B. Erfassungsgröße, Latenz und Anzahl von Protokollen pro Quelle. Durch die Anzeige von Monitoren und das Erkennen von Anomalien können Sie die Datenerfassungsintegrität Ihres Arbeitsbereichs bestimmen. Weitere Informationen finden Sie unter Überwachen der Integrität Ihrer Datenconnectors mit dieser Microsoft Sentinel-Arbeitsmappe. |
Ereignisanalyse | Diese Arbeitsmappe ermöglicht das Durchsuchen, Überwachen und Beschleunigen der Analyse von Windows-Ereignisprotokollen, einschließlich aller Ereignisdetails und -attribute wie Sicherheit, Anwendung, System, Setup, Verzeichnisdienst, DNS und so weiter. |
Exchange Online | Mit dieser Arbeitsmappe gewinnen Sie Erkenntnisse über Microsoft Exchange Online, indem alle Exchange-Vorgänge und -Benutzeraktivitäten nachverfolgt und analysiert werden. |
Identität & Zugriff | Mit dieser Arbeitsmappe gewinnen Sie über Sicherheitsprotokolle, die Überwachungs- und Anmeldeprotokolle enthalten, Erkenntnisse über Identitäts- und Zugriffsvorgänge bei der Nutzung von Microsoft-Produkten. |
Übersicht über Incidents | Diese Arbeitsmappe dient der Unterstützung bei der Selektierung und Untersuchungen, indem sie umfassende Informationen über einen Incident bereitstellt. Dazu zählen allgemeine Informationen, Entitätsdaten, Selektierungszeit, Entschärfungszeit sowie Kommentare. Weitere Informationen finden Sie im Artikel zum Toolkit für datengesteuerte SOCs. |
Untersuchungserkenntnisse | Mit dieser Arbeitsmappe gewinnen Analysten Erkenntnisse über Incident-, Textmarken- und Entitätsdaten. Allgemeine Abfragen und ausführliche Visualisierungen können Analysten bei der Untersuchung verdächtiger Aktivitäten unterstützen. |
Microsoft Defender für Cloud Apps - Ermittlungsprotokolle | Diese Arbeitsmappe stellt ausführliche Informationen zu den Cloud-Apps bereit, die in Ihrer Organisation verwendet werden. Mit ihr gewinnen Sie zudem Erkenntnisse über Nutzungstrends und erhalten Detailinformationen zu bestimmten Benutzern und Anwendungen. Weitere Informationen finden Sie unter Verknüpfen von Microsoft Defender für Cloud Apps-Daten. |
MITRE ATT&CK-Arbeitsmappe | Diese Arbeitsmappe stellt Details zur MITRE ATT&CK-Abdeckung für Microsoft Sentinel bereit. |
Office 365 | Mit dieser Arbeitsmappe gewinnen Sie Erkenntnisse über Office 365, indem alle Vorgänge und Aktivitäten nachverfolgt und analysiert werden. Zeigen Sie Detailinformationen zu SharePoint-, OneDrive-, Teams- und Exchange-Daten an. |
Sicherheitswarnungen | Diese Arbeitsmappe stellt ein Dashboard für Sicherheitswarnungen in Ihrer Microsoft Sentinel-Umgebung bereit. Weitere Informationen finden Sie unter Automatisches Erstellen von Incidents aus Microsoft-Sicherheitswarnungen. |
Effizienz von Sicherheitsvorgängen | Diese Arbeitsmappe ist für SOC-Manager (Security Operations Center) vorgesehen, die damit allgemeine Effizienzmetriken und Measures zur Leistung des Teams anzeigen können. Weitere Informationen finden Sie unter Bessere Verwaltung des SOC mit Incidentmetriken. |
Threat Intelligence | Mit dieser Arbeitsmappe gewinnen Sie Erkenntnisse über Bedrohungsindikatoren, einschließlich Typ und Schweregrad von Bedrohungen, Bedrohungsaktivität im Zeitverlauf und Korrelation mit anderen Datenquellen, darunter Office 365 und Firewalls. Weitere Informationen finden Sie unter Grundlegendes zu Threat Intelligence in Microsoft Sentinel und in unserem TechCommunity-Blog. |
Zero Trust (TIC 3.0) | Stellt eine automatisierte Visualisierung von Zero Trust-Prinzipien bereit, die im Zusammenhang mit dem Framework für vertrauenswürdige Internetverbindungen erläutert werden. Weitere Informationen finden Sie im Blogbeitrag mit der Ankündigung der Zero Trust TIC 3.0-Arbeitsmappe. |