Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo elenca le cartelle di lavoro Microsoft Sentinel più usate. Installare la soluzione o l'elemento autonomo che contiene la cartella di lavoro dall'hub contenuto in Microsoft Sentinel. Ottenere la cartella di lavoro dall'hub contenuto selezionando Gestisci nella soluzione o nell'elemento autonomo. In alternativa, in Microsoft Sentinel in Gestione minacce passare a Cartelle di lavoro e cercare la cartella di lavoro che si vuole usare. Per altre informazioni, vedere Visualizzare e monitorare i dati.
È consigliabile distribuire tutte le cartelle di lavoro associate ai dati inseriti in Microsoft Sentinel. Le cartelle di lavoro consentono un monitoraggio e un'analisi più ampi in base ai dati raccolti. Per altre informazioni, vedere Microsoft Sentinel connettori dati e Individuare e gestire Microsoft Sentinel contenuto predefinito.
Cartelle di lavoro di uso comune
La tabella seguente include cartelle di lavoro consigliate e la soluzione o l'elemento autonomo dell'hub contenuto che contiene la cartella di lavoro.
| Nome cartella di lavoro | Descrizione | Titolo dell'hub contenuto |
|---|---|---|
| Controllo & dell'integrità dell'analisi | Fornisce visibilità sull'integrità e sul controllo delle regole di analisi. Scoprire se una regola di analisi è in esecuzione come previsto e ottenere un elenco delle modifiche apportate a una regola analitica. Per altre informazioni, vedere Monitorare l'integrità e controllare l'integrità delle regole di analisi. |
Controllo & dell'integrità dell'analisi |
| Attività Azure | Fornisce informazioni approfondite sull'attività di Azure dell'organizzazione analizzando e correlando tutte le operazioni e gli eventi degli utenti. Per altre informazioni, vedere Controllo con i log attività Azure. |
Attività Azure |
| Azure Security Benchmark | Fornisce visibilità per il comportamento di sicurezza dei carichi di lavoro cloud. Visualizzare query di log, Azure resource graph e criteri allineati ai controlli di Azure Security Benchmark nelle offerte di sicurezza Microsoft, Azure, Microsoft 365, terze parti, locali e carichi di lavoro multicloud. Per altre informazioni, vedere il blog TechCommunity. |
Azure Security Benchmark |
| Cybersecurity Maturity Model Certification (CMMC) | Consente di visualizzare le query di log allineate ai controlli CMMC in tutto il portfolio Microsoft, tra cui offerte di sicurezza Microsoft, Microsoft 365, Microsoft Teams, Intune, desktop virtuale Azure e altro ancora. Per altre informazioni, vedere il blog TechCommunity. |
Cybersecurity Maturity Model Certification (CMMC) 2.0 |
| Monitoraggio dell'integrità della raccolta dati | Fornisce informazioni dettagliate sullo stato di inserimento dei dati dell'area di lavoro, ad esempio dimensioni di inserimento, latenza e numero di log per origine. Monitora e rileva le anomalie per determinare l'integrità della raccolta dati delle aree di lavoro. Per altre informazioni, vedere Monitorare l'integrità dei connettori dati con questa cartella di lavoro Microsoft Sentinel. |
Monitoraggio dell'integrità della raccolta dati |
| Analizzatore eventi | Esplorare, controllare e velocizzare l'analisi del log eventi di Windows. Include tutti i dettagli e gli attributi dell'evento, ad esempio sicurezza, applicazione, sistema, installazione, servizio directory, DNS e altro ancora. | Eventi Sicurezza di Windows |
| Accesso & identità | Fornisce informazioni dettagliate sulle operazioni di identità e accesso raccogliendo e analizzando i log di sicurezza, usando i log di controllo e accesso per raccogliere informazioni dettagliate sull'uso dei prodotti Microsoft. | Eventi Sicurezza di Windows |
| Panoramica degli eventi imprevisti | Progettato per facilitare la valutazione e l'analisi fornendo informazioni approfondite su un evento imprevisto, tra cui informazioni generali, dati entità, tempo di valutazione, tempo di mitigazione e commenti. Per altre informazioni, vedere The Toolkit for Data-Driven SOC.For more information, see The Toolkit for Data-Driven SOC. |
Manuale SOC |
| Informazioni dettagliate sulle indagini | Fornisce agli analisti informazioni dettagliate su eventi imprevisti, segnalibri e dati di entità. Query comuni e visualizzazioni dettagliate consentono agli analisti di analizzare le attività sospette. | Manuale SOC |
| Microsoft Defender for Cloud Apps - Log di individuazione | Fornisce informazioni dettagliate sulle app cloud usate nell'organizzazione e informazioni dettagliate sulle tendenze di utilizzo e sui dati di drill-down per utenti e applicazioni specifici. Per altre informazioni, vedere connettore Microsoft Defender for Cloud Apps per Microsoft Sentinel. |
Microsoft Defender for Cloud Apps |
| Microsoft Entra log di controllo | Usa i log di controllo per raccogliere informazioni dettagliate sugli scenari Microsoft Entra ID. Informazioni sulle operazioni degli utenti, tra cui la gestione di password e gruppi, le attività dei dispositivi e le principali app e utenti attivi. Per altre informazioni, vedere Guida introduttiva: Introduzione a Microsoft Sentinel. |
Microsoft Entra ID |
| Microsoft Entra log di accesso | Fornisce informazioni dettagliate sulle operazioni di accesso, ad esempio accessi e posizioni degli utenti, indirizzi di posta elettronica e indirizzi IP degli utenti, attività non riuscite e gli errori che hanno generato gli errori. | Microsoft Entra ID |
| Cartella di lavoro di MITRE ATT&CK | Fornisce informazioni dettagliate su MITRE ATT&copertura CK per Microsoft Sentinel. | Manuale SOC |
| Office 365 | Fornisce informazioni dettagliate su Office 365 tracciando e analizzando tutte le operazioni e le attività. Eseguire il drill-down nei dati di SharePoint, OneDrive, Teams ed Exchange. | Microsoft 365 |
| Avvisi di sicurezza | Fornisce un dashboard Avvisi di sicurezza per gli avvisi nell'ambiente Microsoft Sentinel. Per altre informazioni, vedere Creare automaticamente eventi imprevisti da avvisi di sicurezza Microsoft. |
Manuale SOC |
| Efficienza delle operazioni di sicurezza | Destinato ai responsabili del Centro operazioni di sicurezza (SOC) per visualizzare le metriche di efficienza complessive e le misure relative alle prestazioni del team. Per altre informazioni, vedere Gestire meglio il soc con le metriche degli eventi imprevisti. |
Manuale SOC |
| Intelligence per le minacce | Fornisce informazioni dettagliate sull'inserimento degli indicatori di minaccia. Cercare gli indicatori su larga scala tra i carichi di lavoro microsoft di prima parte, di terze parti, locali, ibridi e multicloud. Per altre informazioni, vedere Informazioni sull'intelligence sulle minacce in Microsoft Sentinel e il blog TechCommunity. |
Intelligence per le minacce |
| Report utilizzo area di lavoro | Fornisce informazioni dettagliate sull'utilizzo dell'area di lavoro. Visualizzare l'utilizzo dei dati, la latenza, le attività consigliate e le statistiche sui costi e sull'utilizzo dell'area di lavoro. | Report utilizzo area di lavoro |
| Zero Trust (TIC3.0) | Fornisce una visualizzazione automatizzata dei principi di Zero Trust, cross-walked al framework Connessioni Internet attendibili. Per altre informazioni, vedere il blog sull'annuncio della cartella di lavoro Zero Trust (TIC 3.0). |
Zero Trust (TIC 3.0) |