Risorse utili per l'uso di Microsoft Sentinel

  • Articolo

Questo articolo elenca le risorse che consentono di ottenere altre informazioni sull'uso di Microsoft Sentinel.

Altre informazioni sulla creazione di query

Microsoft Sentinel usa l'Linguaggio di query Kusto (KQL) di Monitoraggio di Azure per compilare query. Per altre informazioni, vedere:

Modelli di Microsoft Sentinel per il monitoraggio dei dati

Microsoft Entra Security Operations Guide include indicazioni specifiche e informazioni sui dati importanti da monitorare per motivi di sicurezza, per diverse aree operative.

In ogni articolo verificare la presenza di sezioni denominate Things to monitor for lists of events that we recommend alerting on and investigating, and analytics rule templates to deploy directly to Microsoft Sentinel(

Altre informazioni sulla creazione dell'automazione

Creare automazione in Microsoft Sentinel usando App per la logica di Azure, con una raccolta crescente di playbook predefiniti.

Per altre informazioni, vedere App per la logica di Azure connettori.

Confrontare playbook, cartelle di lavoro e notebook

La tabella seguente descrive le differenze tra playbook, cartelle di lavoro e notebook in Microsoft Sentinel:

Categoria Playbook Workbooks Notebook
Personas
  • Ingegneri SOC
  • Analisti di tutti i livelli
  • Ingegneri SOC
  • Analisti di tutti i livelli
  • Cacciatori di minacce e analisti di livello 2/livello 3
  • Investigatori degli incidenti
  • Scienziati dei dati
  • Ricercatori della sicurezza
Utilizza Automazione di attività semplici e ripetibili:
  • Inserimento di dati esterni
  • Arricchimento dei dati con TI, ricerche GeoIP e altro ancora
  • Indagine
  • Bonifica
  • Visualizzazione
  • Esecuzione di query sui dati di Microsoft Sentinel e sui dati esterni
  • Arricchimento dei dati con TI, ricerche GeoIP e ricerche whoIs e altro ancora
  • Indagine
  • Visualizzazione
  • Caccia
  • Machine Learning e analisi dei Big Data
Vantaggi
  • Ideale per attività singole e ripetibili
  • Nessuna conoscenza del codice necessaria
  • Ideale per una visualizzazione generale dei dati di Microsoft Sentinel
  • Nessuna conoscenza del codice necessaria
  • Ideale per catene complesse di attività ripetibili
  • Controllo ad hoc, più procedurale
  • Più semplice pivot con funzionalità interattive
  • Librerie Python avanzate per la manipolazione e la visualizzazione dei dati
  • Machine Learning e analisi personalizzata
  • Facile da documentare e condividere prove di analisi
Problematiche
  • Non adatto per catene di attività ad hoc e complesse
  • Non ideale per documentare e condividere prove
  • Impossibile eseguire l'integrazione con dati esterni
  • Curva di apprendimento elevato e richiede conoscenze di codifica
Ulteriori informazioni Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel Visualizzare i dati raccolti Usare notebook di Jupyter per cercare minacce alla sicurezza

Commentare i blog e i forum

Amiamo ascoltare i nostri utenti.

Nello spazio TechCommunity per Microsoft Sentinel:

È anche possibile inviare suggerimenti per i miglioramenti tramite il programma User Voice .

Partecipare alla community GitHub di Microsoft Sentinel

Il repository GitHub di Microsoft Sentinel è una risorsa potente per il rilevamento e l'automazione delle minacce.

Gli analisti della sicurezza di Microsoft creano e aggiungono continuamente nuove cartelle di lavoro, playbook, query di ricerca e altro ancora, pubblicandoli nella community perché ognuno possa usarli nel proprio ambiente.

Scaricare il contenuto di esempio dal repository GitHub privato della community per creare cartelle di lavoro, query di ricerca, notebook e playbook personalizzati per Microsoft Sentinel.

Passaggi successivi

Ottieni la certificazione!

Leggere le storie dei casi d'uso dei clienti