Risorse utili per l'uso di Microsoft Sentinel

Nota

Azure Sentinel è ora denominato Microsoft Sentinel e queste pagine verranno aggiornate nelle prossime settimane. Altre informazioni sui recenti miglioramenti della sicurezza Microsoft.

Questo articolo elenca le risorse che consentono di ottenere altre informazioni sull'uso di Microsoft Sentinel.

Altre informazioni sulla creazione di query

Microsoft Sentinel usa i Linguaggio di query Kusto (KQL) di Monitoraggio di Azure per compilare query. Per altre informazioni, vedere:

Modelli di Microsoft Sentinel per il monitoraggio dei dati

La Guida operativa alla sicurezza di Azure Active Directory include indicazioni specifiche e informazioni sui dati importanti da monitorare per scopi di sicurezza, per diverse aree operative.

In ogni articolo verificare la presenza di sezioni denominate Cose da monitorare per gli elenchi di eventi su cui è consigliabile inviare avvisi e analisi, nonché modelli di regole di analisi da distribuire direttamente in Microsoft Sentinel.

Altre informazioni sulla creazione dell'automazione

Creare l'automazione in Microsoft Sentinel usando App per la logica di Azure, con una raccolta crescente di playbook predefiniti.

Per altre informazioni, vedere Connettori di App per la logica di Azure.

Confrontare playbook, cartelle di lavoro e notebook

La tabella seguente descrive le differenze tra playbook, cartelle di lavoro e notebook in Microsoft Sentinel:

Category Playbook Workbooks Notebook
Utenti tipo
  • Ingegneri SOC
  • Analisti di tutti i livelli
  • Ingegneri SOC
  • Analisti di tutti i livelli
  • Cacciatori di minacce e analisti di livello 2/livello 3
  • Investigatori degli eventi imprevisti
  • Data scientist
  • Ricercatori della sicurezza
Utilizzi Automazione di attività semplici e ripetibili:
  • Inserimento di dati esterni
  • Arricchimento dei dati con TI, ricerche GeoIP e altro ancora
  • Analisi
  • Correzione
  • Visualizzazione
  • Esecuzione di query sui dati di Microsoft Sentinel e sui dati esterni
  • Arricchimento dei dati con TI, ricerche geoIP e ricerche whoIs e altro ancora
  • Analisi
  • Visualizzazione
  • Ricerca
  • Machine Learning e analisi dei Big Data
Vantaggi
  • Ideale per attività singole e ripetibili
  • Nessuna conoscenza del codice necessaria
  • Ideale per una visualizzazione generale dei dati di Microsoft Sentinel
  • Nessuna conoscenza del codice necessaria
  • Ideale per catene complesse di attività ripetibili
  • Controllo più procedurale ad hoc
  • Più facile da pivot con funzionalità interattive
  • Librerie Python avanzate per la manipolazione e la visualizzazione dei dati
  • Machine Learning e analisi personalizzata
  • Facile da documentare e condividere le prove di analisi
Problematiche
  • Non adatto per catene di attività ad hoc e complesse
  • Non ideale per documentare e condividere prove
  • Impossibile eseguire l'integrazione con dati esterni
  • Curva di apprendimento elevato e richiede conoscenze di scrittura del codice
Altre informazioni Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel Visualizzare i dati raccolti Usare i notebook di Jupyter per cercare minacce alla sicurezza

Commenti sui nostri blog e forum

Amiamo ascoltare i nostri utenti.

Nello spazio TechCommunity per Microsoft Sentinel:

È anche possibile inviare suggerimenti per i miglioramenti tramite il programma User Voice .

Partecipare alla community GitHub di Microsoft Sentinel

Il repository GitHub di Microsoft Sentinel è una risorsa potente per il rilevamento e l'automazione delle minacce.

Gli analisti della sicurezza di Microsoft creano e aggiungono continuamente nuove cartelle di lavoro, playbook, query di ricerca e altro ancora, pubblicandoli nella community perché ognuno possa usarli nel proprio ambiente.

Scaricare il contenuto di esempio dal repository GitHub della community privata per creare cartelle di lavoro personalizzate, query di ricerca, notebook e playbook per Microsoft Sentinel.

Passaggi successivi