Cartelle di lavoro di Microsoft Sentinel comunemente usate
Nella tabella seguente sono elencate le cartelle di lavoro di Microsoft Sentinel predefinite più usate.
Accedere alle cartelle di lavoro in Microsoft Sentinel in Cartelle di lavoro di gestione>delle minacce a sinistra e quindi cercare la cartella di lavoro da usare. Per altre informazioni, vedere Visualizzare e monitorare i dati.
Suggerimento
È consigliabile distribuire le cartelle di lavoro associate ai dati inseriti. Le cartelle di lavoro consentono un monitoraggio più ampio e l'analisi in base ai dati raccolti.
Per altre informazioni, vedere Connessione origini dati e Individuare e distribuire centralmente contenuti e soluzioni predefiniti di Microsoft Sentinel.
Nome cartella di lavoro | Descrizione |
---|---|
Efficienza dell'analisi | Fornisce informazioni dettagliate sull'efficacia delle regole di analisi per ottenere prestazioni SOC migliori. Per altre informazioni, vedere Toolkit for Data-Driven SOCs. |
Attività di Azure | Fornisce informazioni dettagliate sull'attività di Azure dell'organizzazione analizzando e correlando tutte le operazioni e gli eventi degli utenti. Per altre informazioni, vedere Controllo con i log attività di Azure. |
Log di controllo di Microsoft Entra | Usa i log di controllo di Microsoft Entra per fornire informazioni dettagliate sugli scenari di Microsoft Entra. Per altre informazioni, vedere Guida introduttiva: Introduzione a Microsoft Sentinel. |
Log di controllo, attività e accesso di Microsoft Entra | Fornisce informazioni dettagliate sui dati di controllo, attività e accesso di Microsoft Entra con una cartella di lavoro. Mostra attività come accessi in base alla posizione, al dispositivo, al motivo dell'errore, all'azione dell'utente e altro ancora. Questa cartella di lavoro può essere usata sia dagli amministratori di Sicurezza che di Azure. |
Log di accesso di Microsoft Entra | Usa i log di accesso di Microsoft Entra per fornire informazioni dettagliate sugli scenari di Microsoft Entra. |
Microsoft Cloud Security Benchmark | Fornisce un unico riquadro di vetro per la raccolta e la gestione dei dati per soddisfare i requisiti di controllo del benchmark della sicurezza cloud Microsoft, aggregando i dati da 25 prodotti microsoft per la sicurezza. Per altre informazioni, vedere il blog techCommunity. |
Certificazione del modello di maturità della cybersecurity (CMMC) | Fornisce un meccanismo per la visualizzazione delle query di log allineate ai controlli CMMC nel portfolio Microsoft, incluse le offerte di sicurezza Microsoft, Office 365, Teams, Intune, Desktop virtuale Azure e così via. Per altre informazioni, vedere il blog techCommunity. |
Monitoraggio dell'integrità della raccolta dati Monitoraggio / utilizzo | Fornisce informazioni dettagliate sullo stato di inserimento dati dell'area di lavoro, ad esempio dimensioni di inserimento, latenza e numero di log per origine. Visualizzare i monitoraggi e rilevare le anomalie per determinare l'integrità della raccolta dei dati delle aree di lavoro. Per altre informazioni, vedere Monitorare l'integrità dei connettori dati con questa cartella di lavoro di Microsoft Sentinel. |
Analizzatore eventi | Consente di esplorare, controllare e velocizzare l'analisi del registro eventi di Windows, inclusi tutti i dettagli e gli attributi degli eventi, ad esempio sicurezza, applicazione, sistema, installazione, servizio directory, DNS e così via. |
Exchange Online | Fornisce informazioni dettagliate su Microsoft Exchange Online tracciando e analizzando tutte le operazioni di Exchange e le attività degli utenti. |
Identità e accesso | Fornisce informazioni dettagliate sulle operazioni di identità e accesso nell'utilizzo dei prodotti Microsoft, tramite log di sicurezza che includono log di controllo e accesso. |
Panoramica degli eventi imprevisti | Progettato per facilitare la valutazione e l'analisi fornendo informazioni approfondite su un evento imprevisto, tra cui informazioni generali, dati delle entità, tempo di valutazione, tempo di mitigazione e commenti. Per altre informazioni, vedere Toolkit for Data-Driven SOCs. |
Informazioni dettagliate sull'indagine | Fornisce agli analisti informazioni dettagliate su eventi imprevisti, segnalibri ed entità. Le query comuni e le visualizzazioni dettagliate consentono agli analisti di analizzare le attività sospette. |
app Microsoft Defender per il cloud - Log di individuazione | Fornisce informazioni dettagliate sulle app cloud usate nell'organizzazione e informazioni dettagliate sulle tendenze di utilizzo e sui dati di drill-down per utenti e applicazioni specifici. Per altre informazioni, vedere Connessione dati da app di Microsoft Defender per il cloud. |
Cartella di lavoro MITRE ATT&CK | Fornisce informazioni dettagliate sulla copertura MITRE ATT&CK per Microsoft Sentinel. |
Office 365 | Fornisce informazioni dettagliate su Office 365 tracciando e analizzando tutte le operazioni e le attività. Eseguire il drill-down nei dati di SharePoint, OneDrive, Teams e Exchange. |
Avvisi di sicurezza | Fornisce un dashboard avvisi di sicurezza per gli avvisi nell'ambiente Microsoft Sentinel. Per altre informazioni, vedere Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft. |
Efficienza delle operazioni di sicurezza | Destinato ai responsabili del Centro operativo per la sicurezza (SOC) per visualizzare le metriche e le misure di efficienza complessive relative alle prestazioni del team. Per altre informazioni, vedere Gestire meglio il SOC con le metriche degli eventi imprevisti. |
Intelligence sulle minacce | Fornisce informazioni dettagliate sugli indicatori delle minacce, tra cui il tipo e la gravità delle minacce, l'attività delle minacce nel tempo e la correlazione con altre origini dati, inclusi Office 365 e firewall. Per altre informazioni, vedere Informazioni sull'intelligence sulle minacce in Microsoft Sentinel e sul blog techCommunity. |
Zero Trust (TIC3.0) | Fornisce una visualizzazione automatizzata dei principi Zero Trust, con una panoramica incrociata del framework di Connessione Internet attendibile. Per altre informazioni, vedere il blog sull'annuncio della cartella di lavoro Zero Trust (TIC 3.0). |