Användbara resurser för att arbeta med Microsoft Sentinel

Den här artikeln innehåller resurser som kan hjälpa dig att få mer information om hur du arbetar med Microsoft Sentinel.

Läs mer om att skapa frågor

Microsoft Sentinel använder Azure Monitor Log Analytics Kusto-frågespråk (KQL) för att skapa frågor. Mer information finns i:

Microsoft Sentinel-mallar för data att övervaka

Azure Active Directory Security Operations Guide innehåller specifik vägledning och kunskap om data som är viktiga att övervaka i säkerhetssyfte för flera operativa områden.

I varje artikel söker du efter avsnitt med namnet Saker att övervaka för listor över händelser som vi rekommenderar aviseringar om och undersökning samt analysregelmallar som ska distribueras direkt till Microsoft Sentinel.

Läs mer om att skapa automatisering

Skapa automatisering i Microsoft Sentinel med Azure Logic Apps, med ett växande galleri med inbyggda spelböcker.

Mer information finns i Anslutningsappar för Azure Logic Apps.

Jämför spelböcker, arbetsböcker och notebook-filer

I följande tabell beskrivs skillnaderna mellan spelböcker, arbetsböcker och notebook-filer i Microsoft Sentinel:

Kategori Spelböcker Arbetsböcker Notebooks
Profiler
  • SOC-tekniker
  • Analytiker på alla nivåer
  • SOC-tekniker
  • Analytiker på alla nivåer
  • Hotjägare och nivå 2/nivå 3-analytiker
  • Incidentutredare
  • Dataforskare
  • Säkerhetsforskare
Använder Automatisering av enkla, repeterbara uppgifter:
  • Mata in externa data
  • Databerikning med TI, GeoIP-sökningar med mera
  • Undersökning
  • Åtgärder
  • Visualisering
  • Köra frågor mot Microsoft Sentinel-data och externa data
  • Databerikning med TI, GeoIP-sökningar och WhoIs-sökningar med mera
  • Undersökning
  • Visualisering
  • Hotjakt
  • Maskininlärning och stordataanalys
Fördelar
  • Bäst för enkla, repeterbara uppgifter
  • Ingen kodningskunskap krävs
  • Bäst för en övergripande vy över Microsoft Sentinel-data
  • Ingen kodningskunskap krävs
  • Bäst för komplexa kedjor av repeterbara uppgifter
  • Ad hoc, mer processuell kontroll
  • Enklare att pivotleda med interaktiva funktioner
  • Omfattande Python-bibliotek för datamanipulering och visualisering
  • Maskininlärning och anpassad analys
  • Lätt att dokumentera och dela analysbevis
Utmaningar
  • Inte lämplig för ad hoc- och komplexa kedjor av uppgifter
  • Inte idealiskt för att dokumentera och dela bevis
  • Det går inte att integrera med externa data
  • Hög inlärningskurva och kräver kodningskunskaper
Mer information Automatisera hotsvar med spelböcker i Microsoft Sentinel Visualisera insamlade data Använda Jupyter Notebooks för att söka efter säkerhetshot

Kommentera våra bloggar och forum

Vi älskar att höra från våra användare.

I TechCommunity-utrymmet för Microsoft Sentinel:

Du kan också skicka förslag på förbättringar via vårt User Voice-program .

Gå med i Microsoft Sentinel GitHub-communityn

Microsoft Sentinel GitHub-lagringsplatsen är en kraftfull resurs för hotidentifiering och automatisering.

Våra Microsofts säkerhetsanalytiker skapar och lägger ständigt till nya arbetsböcker, spelböcker, jaktfrågor med mera, och publicerar dem i communityn så att du kan använda dem i din miljö.

Ladda ned exempelinnehåll från GitHub-lagringsplatsen för den privata communityn för att skapa anpassade arbetsböcker, jaktfrågor, notebook-filer och spelböcker för Microsoft Sentinel.

Nästa steg