Classeurs Microsoft Sentinel couramment utilisés

Le tableau suivant présente les classeurs Microsoft Sentinel intégrés les plus couramment utilisés.

Accédez aux classeurs dans Microsoft Sentinel sous Gestion des menaces>Classeurs à gauche, puis recherchez le classeur que vous souhaitez utiliser. Pour plus d’informations, consultez Visualiser et superviser vos données.

Conseil

Nous vous recommandons de déployer tous les workbooks associés aux données que vous ingérez. Les workbooks permettent d’obtenir une supervision et des investigations plus poussées en fonction des données collectées.

Pour plus d’informations, consultez Connecter des sources de données et Découvrir et déployer de manière centralisée du contenu et des solutions Microsoft Sentinel prêts à l’emploi.

Nom du classeur Description
Efficacité analytique Fournit des insights sur l’efficacité de vos règles d’analytique pour vous aider à obtenir un meilleur niveau de performance du centre SOC.

Pour plus d’informations, consultez Kit de ressources pour les centres SOC pilotés par les données.
Activité Azure Fournit des insights complets sur l’activité Azure de votre organisation en analysant et en mettant en corrélation tous les événements et opérations utilisateurs.

Pour plus d’informations, consultez Audit avec les journaux d’activité Azure.
Journaux d'audit Microsoft Entra Utilise les journaux d’audit Microsoft Entra pour fournir des aperçus sur les scénarios Microsoft Entra.

Pour plus d’informations, consultez Démarrage rapide : Bien démarrer avec Microsoft Sentinel.
Journaux d’audit, d’activité et de connexion Microsoft Entra Fournit des aperçus sur les données d’audit, d’activité et de connexion Microsoft Entra avec un seul classeur. Affiche l’activité telle que les connexions par emplacement, l’appareil, la raison de l’échec, l’action de l’utilisateur, etc.

Ce classeur peut être utilisé par les administrateurs de la sécurité et les administrateurs Azure.
Journaux de connexion Microsoft Entra Utilise les journaux de connexion Microsoft Entra pour fournir des aperçus sur les scénarios Microsoft Entra.
Point de référence de sécurité Microsoft Cloud Fournit un volet unique pour la collecte et la gestion des données afin de répondre aux exigences de contrôle de point de référence de sécurité Microsoft Cloud, en agrégeant les données de plus de 25 produits de sécurité de Microsoft.

Pour plus d’informations, consultez notre blog TechCommunity.
CMMC (Cybersecurity Maturity Model Certification) Fournit un mécanisme pour voir les requêtes de journal alignées sur les contrôles CMMC dans le portefeuille Microsoft, notamment les offres de sécurité Microsoft, Office 365, Teams, Intune, Azure Virtual Desktop, etc.

Pour plus d’informations, consultez notre blog TechCommunity.
Supervision de l’intégrité de la collecte de données / Supervision de l’utilisation Fournit des insights sur l’état d’ingestion des données de votre espace de travail, par exemple la taille de l’ingestion, la latence et le nombre de journaux par source. Supervisez et détectez les anomalies pour mieux évaluer l’intégrité de la collecte de données de votre espace de travail.

Pour plus d’informations, consultez Surveiller l’intégrité de vos connecteurs de données avec ce classeur Microsoft Sentinel.
Analyseur d’événements Permet d’explorer, d’auditer et d’accélérer l’analyse du journal des événements Windows, y compris tous les détails et attributs des événements, comme la sécurité, l’application, le système, la configuration, le service d’annuaire, le système DNS, etc.
Exchange Online Fournit des insights sur Microsoft Exchange Online en traçant et en analysant toutes les opérations Exchange et les activités des utilisateurs.
Identité et accès Fournit des insights sur les opérations d’identité et d’accès dans l’utilisation des produits Microsoft, au moyen de journaux de sécurité qui incluent des journaux d’audit et de connexion.
Vue d’ensemble des incidents Facilite le triage et l’investigation en fournissant des informations détaillées sur un incident, notamment des informations générales, des données d’entité, le temps de triage, le temps d’atténuation et des commentaires.

Pour plus d’informations, consultez Kit de ressources pour les centres SOC pilotés par les données.
Insights d’investigation Fournit aux analystes des insights sur les données relatives aux incidents, aux signets et aux entités. Les requêtes courantes et les visualisations détaillées peuvent les aider à examiner les activités suspectes.
Microsoft Defender for Cloud Apps : journaux de détection Fournit des détails sur les applications cloud utilisées dans votre organisation, ainsi que des insights tirés des tendances d’utilisation et des données d’exploration pour des utilisateurs et des applications spécifiques.

Pour plus d’informations, consultez Connecter des données à partir de Microsoft Defender for Cloud Apps.
Classeur MITRE ATT&CK Fournit des détails sur la couverture MITRE ATT&CK pour Microsoft Sentinel.
Office 365 Fournit des insights sur Office 365 en traçant et en analysant toutes les opérations et activités. Explorez les données SharePoint, OneDrive, Teams et Exchange.
alertes de sécurité Fournit un tableau de bord des alertes de sécurité de l’environnement Microsoft Sentinel.

Pour plus d’informations, consultez Créer automatiquement des incidents à partir d’alertes de sécurité Microsoft.
Efficacité des opérations de sécurité Permet aux responsables de centre des opérations de sécurité (SOC) de voir des métriques et des mesures d’efficacité globales concernant le niveau de performance de leur équipe.

Pour plus d’informations, consultez Meilleure gestion du centre SOC avec les métriques relatives aux incidents.
Renseignement sur les menaces Fournit des insights sur les indicateurs de menace, notamment le type et la gravité des menaces, l’activité des menaces dans le temps et la corrélation avec d’autres sources de données, notamment Office 365 et les pare-feu.

Pour plus d’informations, consultez Comprendre le renseignement sur les menaces dans Microsoft Sentinel et notre blog TechCommunity.
Confiance Zéro (TIC 3.0) Fournit une visualisation automatisée des principes de Confiance Zéro, transmise à l'infrastructure des connexions Internet de confiance (TIC).

Pour plus d’informations, consultez le blog de l'annonce du classeur Confiance Zéro (TIC 3.0).