Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono najczęściej używane Microsoft Sentinel skoroszyty. Zainstaluj rozwiązanie lub autonomiczny element zawierający skoroszyt z centrum zawartości w Microsoft Sentinel. Pobierz skoroszyt z centrum zawartości , wybierając pozycję Zarządzaj w rozwiązaniu lub autonomicznym elemencie. Możesz też w Microsoft Sentinel w obszarze Zarządzanie zagrożeniami przejść do obszaru Skoroszyty i wyszukać skoroszyt, którego chcesz użyć. Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych.
Zalecamy wdrożenie wszystkich skoroszytów skojarzonych z danymi pozyskanych w Microsoft Sentinel. Skoroszyty umożliwiają szersze monitorowanie i badanie na podstawie zebranych danych. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel łączników danych oraz odnajdywanie zawartości Microsoft Sentinel zawartości wbudowanej i zarządzanie nią.
Często używane skoroszyty
Poniższa tabela zawiera zalecane przez nas skoroszyty oraz rozwiązanie lub autonomiczny element z centrum zawartości zawierający skoroszyt.
| Nazwa skoroszytu | Opis | Tytuł centrum zawartości |
|---|---|---|
| Inspekcja & kondycji analizy | Zapewnia wgląd w kondycję i inspekcję reguł analizy. Dowiedz się, czy reguła analizy działa zgodnie z oczekiwaniami, i uzyskaj listę zmian wprowadzonych w regule analitycznej. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji i inspekcja integralności reguł analizy. |
Inspekcja & kondycji analizy |
| działanie Azure | Zapewnia obszerny wgląd w Azure działania organizacji, analizując i korelując wszystkie operacje i zdarzenia użytkownika. Aby uzyskać więcej informacji, zobacz Auditing with Azure Activity logs (Inspekcja przy użyciu dzienników aktywności Azure). |
działanie Azure |
| Test porównawczy zabezpieczeń Azure | Zapewnia widoczność stanu zabezpieczeń obciążeń w chmurze. Wyświetlanie zapytań dzienników, grafów zasobów Azure i zasad dostosowanych do Azure testów porównawczych zabezpieczeń w ofertach zabezpieczeń firmy Microsoft, Azure, microsoft 365, obciążeniach innych firm, lokalnych i wielochmurowych. Aby uzyskać więcej informacji, zobacz nasz blog TechCommunity. |
Test porównawczy zabezpieczeń Azure |
| Certyfikacja modelu dojrzałości do cyberbezpieczeństwa (CMMC) | Umożliwia wyświetlanie zapytań dzienników dopasowanych do kontrolek cmmc w portfolio firmy Microsoft, w tym ofert zabezpieczeń firmy Microsoft, platformy Microsoft 365, microsoft teams, Intune, Azure virtual desktop i innych. Aby uzyskać więcej informacji, zobacz nasz blog TechCommunity. |
Certyfikacja modelu dojrzałości do cyberbezpieczeństwa (CMMC) 2.0 |
| Monitorowanie kondycji zbierania danych | Zapewnia wgląd w stan pozyskiwania danych obszaru roboczego, na przykład rozmiar pozyskiwania, opóźnienie i liczbę dzienników na źródło. Monitoruje i wykrywa anomalie, aby ułatwić określenie kondycji zbierania danych obszarów roboczych. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji łączników danych za pomocą tego skoroszytu Microsoft Sentinel. |
Monitorowanie kondycji zbierania danych |
| Analizator zdarzeń | Eksplorowanie, inspekcja i przyspieszanie analizy dziennika zdarzeń systemu Windows. Zawiera wszystkie szczegóły i atrybuty zdarzeń, takie jak zabezpieczenia, aplikacja, system, konfiguracja, usługa katalogowa, system DNS i inne. | zdarzenia Zabezpieczenia Windows |
| Dostęp & tożsamości | Zapewnia wgląd w operacje tożsamości i dostępu, zbierając i analizując dzienniki zabezpieczeń, korzystając z dzienników inspekcji i logowania w celu zebrania szczegółowych informacji na temat korzystania z produktów firmy Microsoft. | zdarzenia Zabezpieczenia Windows |
| Omówienie zdarzenia | Zaprojektowana w celu ułatwienia klasyfikacji i badania poprzez dostarczenie szczegółowych informacji o zdarzeniu, w tym ogólnych informacji, danych jednostki, czasu klasyfikacji, czasu ograniczania ryzyka i komentarzy. Aby uzyskać więcej informacji, zobacz Zestaw narzędzi dla Data-Driven soc. |
Podręcznik SOC |
| Szczegółowe informacje o badaniach | Zapewnia analitykom wgląd w zdarzenia, zakładki i dane jednostki. Typowe zapytania i szczegółowe wizualizacje mogą pomóc analitykom w badaniu podejrzanych działań. | Podręcznik SOC |
| Microsoft Defender for Cloud Apps — dzienniki odnajdywania | Zawiera szczegółowe informacje o aplikacjach w chmurze używanych w organizacji oraz szczegółowe informacje na temat trendów użycia i danych szczegółowych dla określonych użytkowników i aplikacji. Aby uzyskać więcej informacji, zobacz łącznik Microsoft Defender for Cloud Apps dla Microsoft Sentinel. |
Microsoft Defender for Cloud Apps |
| dzienniki inspekcji Microsoft Entra | Używa dzienników inspekcji do zbierania szczegółowych informacji dotyczących Microsoft Entra ID scenariuszy. Dowiedz się więcej o operacjach użytkownika, w tym o zarządzaniu hasłami i grupami, działaniach urządzeń oraz najważniejszych aktywnych użytkownikach i aplikacjach. Aby uzyskać więcej informacji, zobacz Szybki start: wprowadzenie do Microsoft Sentinel. |
Microsoft Entra ID |
| Microsoft Entra dzienniki logowania | Zapewnia szczegółowe informacje dotyczące operacji logowania, takich jak logowania użytkowników i lokalizacje, adresy e-mail i adresy IP użytkowników, działania zakończone niepowodzeniem oraz błędy, które spowodowały błędy. | Microsoft Entra ID |
| MITRE ATT&skoroszyt CK | Zawiera szczegółowe informacje o usłudze MITRE ATT&pokrycia CK dla Microsoft Sentinel. | Podręcznik SOC |
| Office 365 | Zapewnia wgląd w Office 365 przez śledzenie i analizowanie wszystkich operacji i działań. Przejdź do szczegółów danych programu SharePoint, OneDrive, Teams i programu Exchange. | Microsoft 365 |
| Alerty zabezpieczeń | Udostępnia pulpit nawigacyjny alertów zabezpieczeń dla alertów w środowisku Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Automatyczne tworzenie zdarzeń z alertów zabezpieczeń firmy Microsoft. |
Podręcznik SOC |
| Wydajność operacji zabezpieczeń | Przeznaczone dla menedżerów centrum operacji zabezpieczeń (SOC) do wyświetlania ogólnych metryk wydajności i miar dotyczących wydajności ich zespołu. Aby uzyskać więcej informacji, zobacz Lepsze zarządzanie usługą SOC za pomocą metryk zdarzeń. |
Podręcznik SOC |
| Analiza zagrożeń | Zapewnia wgląd w pozyskiwanie wskaźników zagrożeń. Wyszukaj wskaźniki na dużą skalę w ramach obciążeń firmy Microsoft 1st, innych firm, obciążeń lokalnych, hybrydowych i wielochmurowych. Aby uzyskać więcej informacji, zobacz Omówienie analizy zagrożeń w Microsoft Sentinel i w blogu TechCommunity. |
Analiza zagrożeń |
| Raport użycia obszaru roboczego | Zapewnia wgląd w użycie obszaru roboczego. Wyświetlanie zużycia danych, opóźnienia, zalecanych zadań oraz statystyk kosztów i użycia obszaru roboczego. | Raport użycia obszaru roboczego |
| Zero Trust (TIC3.0) | Udostępnia zautomatyzowaną wizualizację zasad Zero Trust, które są wykonywane krzyżowo w strukturze Zaufane połączenia internetowe. Aby uzyskać więcej informacji, zobacz blog z ogłoszeniem skoroszytu Zero Trust (TIC 3.0). |
Zero Trust (TIC 3.0) |