Często używane skoroszyty usługi Microsoft Sentinel
W poniższej tabeli wymieniono najczęściej używane wbudowane skoroszyty usługi Microsoft Sentinel.
Uzyskaj dostęp do skoroszytów w usłudze Microsoft Sentinel w obszarze Skoroszyty zarządzania zagrożeniami>po lewej stronie, a następnie wyszukaj skoroszyt, którego chcesz użyć. Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych.
Napiwek
Zalecamy wdrożenie wszystkich skoroszytów skojarzonych z danymi, które są pozyskiwane. Skoroszyty umożliwiają szersze monitorowanie i badanie na podstawie zebranych danych.
Aby uzyskać więcej informacji, zobacz Połączenie źródła danych i centralne odnajdywanie i wdrażanie gotowej zawartości i rozwiązań usługi Microsoft Sentinel.
Nazwa skoroszytu | opis |
---|---|
Efektywność analizy | Zapewnia wgląd w skuteczność reguł analizy, które ułatwiają osiągnięcie lepszej wydajności SOC. Aby uzyskać więcej informacji, zobacz Zestaw narzędzi do obsługi soc opartych na danych. |
Działanie platformy Azure | Zapewnia obszerny wgląd w aktywność organizacji na platformie Azure, analizując i korelując wszystkie operacje i zdarzenia użytkownika. Aby uzyskać więcej informacji, zobacz Inspekcja za pomocą dzienników aktywności platformy Azure. |
Dzienniki inspekcji firmy Microsoft Entra | Używa dzienników inspekcji firmy Microsoft Entra, aby zapewnić wgląd w scenariusze firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Szybki start: wprowadzenie do usługi Microsoft Sentinel. |
Dzienniki inspekcji, aktywności i logowania firmy Microsoft | Zapewnia wgląd w dane inspekcji, aktywności i logowania firmy Microsoft za pomocą jednego skoroszytu. Pokazuje działania, takie jak logowania według lokalizacji, urządzenia, przyczyny niepowodzenia, akcji użytkownika i nie tylko. Ten skoroszyt może być używany zarówno przez administratorów zabezpieczeń, jak i platformy Azure. |
Dzienniki logowania w usłudze Microsoft Entra | Używa dzienników logowania firmy Microsoft Entra w celu uzyskania szczegółowych informacji na temat scenariuszy firmy Microsoft Entra. |
Wzorzec bezpieczeństwa w chmurze Microsoft | Zapewnia pojedyncze okienko szkła do zbierania danych i zarządzania nimi w celu spełnienia wymagań dotyczących kontroli testów porównawczych zabezpieczeń w chmurze firmy Microsoft, agregowania danych z 25+ produktów zabezpieczeń firmy Microsoft. Aby uzyskać więcej informacji, zobacz nasz blog TechCommunity. |
Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC) | Udostępnia mechanizm wyświetlania zapytań dzienników dostosowanych do kontrolek CMMC w portfolio firmy Microsoft, w tym ofert zabezpieczeń firmy Microsoft, usługi Office 365, teams, usługi Intune, usługi Azure Virtual Desktop itd. Aby uzyskać więcej informacji, zobacz nasz blog TechCommunity. |
Monitorowanie kondycji / zbierania danych Monitorowanie użycia | Zapewnia wgląd w stan pozyskiwania danych obszaru roboczego, taki jak rozmiar pozyskiwania, opóźnienie i liczba dzienników na źródło. Wyświetlanie monitorów i wykrywanie anomalii, aby ułatwić określenie kondycji zbierania danych obszarów roboczych. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji łączników danych za pomocą tego skoroszytu usługi Microsoft Sentinel. |
Analizator zdarzeń | Umożliwia eksplorowanie, inspekcję i przyspieszanie analizy dziennika zdarzeń systemu Windows, w tym wszystkich szczegółów zdarzeń i atrybutów, takich jak zabezpieczenia, aplikacja, system, instalacja, usługa katalogowa, dns itd. |
Exchange Online | Zapewnia wgląd w usługę Microsoft Exchange Online przez śledzenie i analizowanie wszystkich operacji programu Exchange i działań użytkownika. |
Tożsamość i dostęp | Zapewnia wgląd w operacje tożsamości i dostępu w użyciu produktów firmy Microsoft za pośrednictwem dzienników zabezpieczeń, które obejmują dzienniki inspekcji i logowania. |
Omówienie zdarzeń | Zaprojektowana tak, aby ułatwić klasyfikację i badanie, udostępniając szczegółowe informacje o zdarzeniu, w tym ogólne informacje, dane jednostki, czas klasyfikacji, czas ograniczenia ryzyka i komentarze. Aby uzyskać więcej informacji, zobacz Zestaw narzędzi do obsługi soc opartych na danych. |
Badanie Szczegółowe informacje | Udostępnia analitykom wgląd w dane dotyczące zdarzeń, zakładek i jednostek. Typowe zapytania i szczegółowe wizualizacje mogą pomóc analitykom badać podejrzane działania. |
Microsoft Defender dla Chmury Apps — dzienniki odnajdywania | Zawiera szczegółowe informacje o aplikacjach w chmurze, które są używane w organizacji, oraz szczegółowe informacje na temat trendów użycia i danych przechodzenia do szczegółów dla określonych użytkowników i aplikacji. Aby uzyskać więcej informacji, zobacz Połączenie dane z usługi Microsoft Defender dla Chmury Apps. |
SKOROSZYT MITRE ATT&CK | Zawiera szczegółowe informacje na temat pokrycia MITRE ATT&CK dla usługi Microsoft Sentinel. |
Office 365 | Zapewnia wgląd w usługę Office 365 przez śledzenie i analizowanie wszystkich operacji i działań. Przejdź do szczegółów danych programów SharePoint, OneDrive, Teams i Exchange. |
Alerty zabezpieczeń | Udostępnia pulpit nawigacyjny Alerty zabezpieczeń dla alertów w środowisku usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Automatyczne tworzenie zdarzeń na podstawie alertów zabezpieczeń firmy Microsoft. |
Wydajność operacji zabezpieczeń | Przeznaczone dla menedżerów centrum operacji zabezpieczeń (SOC) do wyświetlania ogólnych metryk wydajności i miar dotyczących wydajności ich zespołu. Aby uzyskać więcej informacji, zobacz Zarządzanie soc lepiej za pomocą metryk zdarzeń. |
Analiza zagrożeń | Zapewnia wgląd w wskaźniki zagrożeń, w tym typ i ważność zagrożeń, aktywność zagrożeń w czasie oraz korelację z innymi źródłami danych, w tym usługą Office 365 i zaporami. Aby uzyskać więcej informacji, zobacz Omówienie analizy zagrożeń w usłudze Microsoft Sentinel i naszym blogu TechCommunity. |
Zero Trust (TIC3.0) | Udostępnia zautomatyzowaną wizualizację zasad zero trust, między przewodnikami do platformy Trusted Internet Połączenie ions. Aby uzyskać więcej informacji, zobacz blog anonsu skoroszytu Zero Trust (TIC 3.0). |