Pastas de trabalho do Microsoft Sentinel comumente usadas
A tabela a seguir lista as pastas de trabalho internas do Microsoft Sentinel mais usadas.
Aceda a livros no Microsoft Sentinel em Livros de Gestão de> Ameaças à esquerda e, em seguida, procure o livro que pretende utilizar. Para obter mais informações, consulte Visualizar e monitorar seus dados.
Gorjeta
Recomendamos a implantação de todas as pastas de trabalho associadas aos dados que você está ingerindo. As pastas de trabalho permitem um monitoramento e investigação mais amplos com base nos dados coletados.
Para obter mais informações, consulte Conectar fontes de dados e Descobrir e implantar centralmente conteúdo e soluções prontos para uso do Microsoft Sentinel.
| Nome da pasta de trabalho | Description |
|---|---|
| Eficiência analítica | Fornece informações sobre a eficácia de suas regras de análise para ajudá-lo a obter um melhor desempenho de SOC. Para obter mais informações, consulte The Toolkit for Data-Driven SOCs. |
| Atividade do Azure | Fornece uma visão abrangente da atividade do Azure da sua organização, analisando e correlacionando todas as operações e eventos do usuário. Para obter mais informações, consulte Auditoria com logs de atividade do Azure. |
| Logs de auditoria do Microsoft Entra | Usa logs de auditoria do Microsoft Entra para fornecer informações sobre cenários do Microsoft Entra. Para obter mais informações, consulte Guia de início rápido: introdução ao Microsoft Sentinel. |
| Logs de auditoria, atividade e entrada do Microsoft Entra | Fornece informações sobre dados de auditoria, atividade e entrada do Microsoft Entra com uma pasta de trabalho. Mostra atividades como entradas por local, dispositivo, motivo da falha, ação do usuário e muito mais. Esta pasta de trabalho pode ser usada por administradores de Segurança e do Azure. |
| Logs de entrada do Microsoft Entra | Usa os logs de entrada do Microsoft Entra para fornecer informações sobre cenários do Microsoft Entra. |
| Referência da segurança da cloud da Microsoft | Fornece um painel único para coletar e gerenciar dados para atender aos requisitos de controle de referência de segurança na nuvem da Microsoft, agregando dados de 25+ produtos de segurança da Microsoft. Para obter mais informações, consulte nosso blog TechCommunity. |
| Certificação do Modelo de Maturidade em Cibersegurança (CMMC) | Fornece um mecanismo para exibir consultas de log alinhadas aos controles CMMC em todo o portfólio da Microsoft, incluindo ofertas de segurança da Microsoft, Office 365, Teams, Intune, Área de Trabalho Virtual do Azure e assim por diante. Para obter mais informações, consulte nosso blog TechCommunity. |
| Monitorização do estado de funcionamento da recolha de dados Monitorização / da utilização | Fornece informações sobre o status de ingestão de dados do seu espaço de trabalho, como tamanho da ingestão, latência e número de logs por fonte. Exiba monitores e detete anomalias para ajudá-lo a determinar a integridade da coleta de dados de seus espaços de trabalho. Para obter mais informações, consulte Monitorar a integridade de seus conectores de dados com esta pasta de trabalho do Microsoft Sentinel. |
| Analisador de eventos | Permite explorar, auditar e acelerar a análise do Log de Eventos do Windows, incluindo todos os detalhes e atributos de eventos, como segurança, aplicativo, sistema, instalação, serviço de diretório, DNS e assim por diante. |
| Exchange Online | Fornece informações sobre o Microsoft Exchange online rastreando e analisando todas as operações do Exchange e atividades do usuário. |
| Identidade e Acesso | Fornece informações sobre operações de identidade e acesso no uso de produtos Microsoft, por meio de logs de segurança que incluem logs de auditoria e entrada. |
| Visão geral do incidente | Projetado para ajudar na triagem e investigação, fornecendo informações detalhadas sobre um incidente, incluindo informações gerais, dados da entidade, tempo de triagem, tempo de mitigação e comentários. Para obter mais informações, consulte The Toolkit for Data-Driven SOCs. |
| Insights de investigação | Fornece aos analistas informações sobre incidentes, marcadores e dados de entidades. Consultas comuns e visualizações detalhadas podem ajudar os analistas a investigar atividades suspeitas. |
| Microsoft Defender for Cloud Apps - logs de descoberta | Fornece detalhes sobre os aplicativos de nuvem que são usados em sua organização e insights de tendências de uso e dados detalhados para usuários e aplicativos específicos. Para obter mais informações, consulte Conectar dados do Microsoft Defender for Cloud Apps. |
| Pasta de trabalho MITRE ATT&CK | Fornece detalhes sobre a cobertura MITRE ATT&CK para o Microsoft Sentinel. |
| Office 365 | Fornece informações sobre o Office 365 rastreando e analisando todas as operações e atividades. Analise detalhadamente os dados do SharePoint, OneDrive, Teams e Exchange. |
| Alertas de Segurança | Fornece um painel de Alertas de Segurança para alertas em seu ambiente Microsoft Sentinel. Para obter mais informações, consulte Criar incidentes automaticamente a partir de alertas de segurança da Microsoft. |
| Eficiência das Operações de Segurança | Destinado aos gerentes do centro de operações de segurança (SOC) para visualizar métricas e medidas gerais de eficiência em relação ao desempenho de sua equipe. Para obter mais informações, consulte Gerencie melhor seu SOC com métricas de incidentes. |
| Inteligência de ameaças | Fornece informações sobre indicadores de ameaça, incluindo tipo e gravidade de ameaças, atividade de ameaças ao longo do tempo e correlação com outras fontes de dados, incluindo o Office 365 e firewalls. Para obter mais informações, consulte Compreender a inteligência contra ameaças no Microsoft Sentinel e nosso blog TechCommunity. |
| Confiança Zero (TIC3.0) | Fornece uma visualização automatizada dos princípios do Zero Trust, cruzada com a estrutura Conexões de Internet Confiáveis. Para obter mais informações, consulte o blog de anúncio da pasta de trabalho Zero Trust (TIC 3.0). |