Поделиться через


Часто используемые книги Microsoft Sentinel

В следующей таблице перечислены наиболее часто используемые встроенные книги Microsoft Sentinel.

Откройте книгу в Microsoft Sentinel в разделе Управление угрозами>Книги слева и найдите книгу, которую хотите использовать. Дополнительные сведения см. в статье о визуализации и мониторинге данных.

Совет

Рекомендуется развернуть все книги, связанные с принимаемыми данными. Книги расширяют возможности для мониторинга и анализа собранных данных.

Дополнительные сведения см. в статьях Соединители данных Microsoft Sentinel и Централизованное обнаружение и развертывание стандартного содержимого и решений Microsoft Sentinel.

Имя книги Description
Эффективность аналитики Предоставляет сведения об эффективности правил аналитики, чтобы помочь вам повысить производительность SOC.

Дополнительные сведения см. в разделе Набор средств для SOC, управляемых данными.
Действия Azure Предоставляет подробные сведения об активности вашей организации в Azure путем анализа и сопоставления всех пользовательских операций и событий.

Дополнительные сведения см. в разделе Аудит с помощью журналов действий Azure.
Журналы аудита Microsoft Entra Использует журналы аудита Microsoft Entra для предоставления аналитических сведений о сценариях Microsoft Entra.

Дополнительные сведения см. в документации по началу работы с Microsoft Sentinel.
Журналы аудита, действий и входа в Microsoft Entra Предоставляет аналитические сведения об аудите, активности и входе Microsoft с одной книгой. Показывает различные действия, такие как входы в систему по расположению, устройству, причине сбоя, действию пользователя и т. д.

Эта книга может использоваться как отделом безопасности, так и администраторами Azure.
Журналы входа в Microsoft Entra Использует журналы входа Microsoft Entra для предоставления аналитических сведений о сценариях Microsoft Entra.
Управление безопасностью в облаке Майкрософт Предоставляет одну панель стекла для сбора и управления данными для решения требований к управлению контрольным показателем безопасности в облаке Майкрософт, агрегируя данные из 25 продуктов безопасности Майкрософт.

Дополнительные сведения см. в блоге технического сообщества.
Cybersecurity Maturity Model Certification (CMMC) Предоставляет механизм для просмотра запросов к журналам, согласованных с элементами под управлением CMMC из всего портфеля Майкрософт, включая предложения безопасности Майкрософт, Office 365, Teams, Intune, виртуальные рабочие столы Azure и т. д.

Дополнительные сведения см. в блоге технического сообщества.
Мониторинг состояния работоспособности для сбора данных / Мониторинг использования Предоставляет аналитические сведения о состоянии приема данных в рабочей области, такие как объем принимаемых данных, задержка и количество журналов на источник. Просматривает мониторы и обнаруживает аномалии, которые помогут определить работоспособность сбора данных в рабочих областях.

Дополнительные сведения см. в статье Мониторинг работоспособности соединителей данных.
Анализатор событий Позволяет изучить, проверить и ускорить анализ журналов событий Windows, включая все сведения о событиях и все атрибуты событий, такие как "Безопасность", "Приложение", "Система", "Информация об установке", "Служба каталогов", "DNS" и другие.
Exchange Online Предоставляет аналитические сведения о Microsoft Exchange Online путем трассировки и анализа всех операций Exchange и действий пользователя.
Идентификация и доступ Предоставляет сведения об операциях идентификации и доступа при использовании продуктов Майкрософт с помощью журналов безопасности, содержащих журналы аудита и входа.
Обзор инцидентов Помогает в рассмотрении и исследовании, предоставляя подробные сведения об инциденте, включая общие сведения, данные сущности, время рассмотрения, время устранения и комментарии.

Дополнительные сведения см. в разделе Набор средств для SOC, управляемых данными.
Аналитические сведения для исследования Предоставляет аналитикам аналитические сведения об инцидентах, закладках и данных сущностей. Общие запросы и подробные визуализации могут помочь аналитикам исследовать подозрительные действия.
Microsoft Defender для облачных приложений — журналы обнаружения Предоставляет сведения об облачных приложениях, используемых в организации, а также о тенденциях использования и детализации данных для конкретных пользователей и приложений.

Дополнительные сведения см. в статье о подключении данных из Microsoft Defender для облачных приложений.
Книга MITRE ATT&CK Содержит сведения о охвате MITRE ATT&CK для Microsoft Sentinel.
Office 365 Предоставляет аналитические сведения об Office 365 путем трассировки и анализа всех операций и действий. Детализирует данные SharePoint, OneDrive, Teams и Exchange.
оповещения безопасности Предоставляет панель мониторинга оповещений системы безопасности в вашей среде Microsoft Sentinel.

Дополнительные сведения о правилах безопасности см. в разделе Автоматическое создание инцидентов на основе оповещений системы безопасности Майкрософт.
Эффективность операций безопасности Позволяет менеджерам центра информационной безопасности (SOC) просматривать общие метрики эффективности и показатели производительности их команд.

Дополнительные сведения см. в статье Более эффективное управление SOC с помощью метрик инцидента.
Аналитика угроз Предоставляет аналитические сведения по индикаторам угроз, включая тип и серьезность угроз, активность угроз с течением времени и корреляцию с другими источниками данных, включая брандмауэры и Office 365.

Дополнительные сведения см. в статье Знакомство с аналитикой угроз в Microsoft Sentinel и в нашем блоге технического сообщества.
"Никому не доверяй" (TIC3.0) Предоставляет автоматическую визуализацию принципов "Никому не доверяй" на основе платформы доверенных подключений к Интернету.

Дополнительные сведения см. в блоге объявлений о книге "Никому не доверяй" (TIC 3.0).