Användbara resurser för att arbeta med Microsoft Sentinel

Den här artikeln innehåller resurser som kan hjälpa dig att få mer information om hur du arbetar med Microsoft Sentinel.

Läs mer om att skapa frågor

Microsoft Sentinel använder Azure Monitor Log Analytics Kusto-frågespråk (KQL) för att skapa frågor. Mer information finns i:

Microsoft Sentinel-mallar för data som ska övervakas

Säkerhetshandboken för Azure Active Directory innehåller specifik vägledning och kunskap om data som är viktiga att övervaka i säkerhetssyfte för flera operativa områden.

I varje artikel söker du efter avsnitt med namnet Saker att övervaka för listor över händelser som vi rekommenderar aviseringar om och undersökning, samt analysregelmallar som ska distribueras direkt till Microsoft Sentinel.

Läs mer om att skapa automatisering

Skapa automatisering i Microsoft Sentinel med Hjälp av Azure Logic Apps, med ett växande galleri med inbyggda spelböcker.

Mer information finns i Anslutningsappar för Azure Logic Apps.

Jämför spelböcker, arbetsböcker och notebook-filer

I följande tabell beskrivs skillnaderna mellan spelböcker, arbetsböcker och notebook-filer i Microsoft Sentinel:

Kategori Spelböcker Arbetsböcker Notebooks
Profiler
  • SOC-tekniker
  • Analytiker på alla nivåer
  • SOC-tekniker
  • Analytiker på alla nivåer
  • Hotjägare och analytiker på nivå 2/nivå 3
  • Incidentutredare
  • Dataforskare
  • Säkerhetsforskare
Använder Automatisering av enkla, repeterbara uppgifter:
  • Mata in externa data
  • Databerikning med TI, GeoIP-sökningar med mera
  • Undersökning
  • Åtgärder
  • Visualisering
  • Köra frågor mot Microsoft Sentinel-data och externa data
  • Databerikning med TI, GeoIP-sökningar och WhoIs-sökningar med mera
  • Undersökning
  • Visualisering
  • Hotjakt
  • Maskininlärning och stordataanalys
Fördelar
  • Bäst för enskilda, repeterbara uppgifter
  • Ingen kodningskunskap krävs
  • Bäst för en övergripande vy över Microsoft Sentinel-data
  • Ingen kodningskunskap krävs
  • Bäst för komplexa kedjor av repeterbara uppgifter
  • Ad hoc, mer procedurkontroll
  • Enklare att pivot med interaktiva funktioner
  • Omfattande Python-bibliotek för datamanipulering och visualisering
  • Maskininlärning och anpassad analys
  • Lätt att dokumentera och dela analysbevis
Utmaningar
  • Inte lämplig för ad hoc- och komplexa kedjor av uppgifter
  • Inte idealiskt för att dokumentera och dela bevis
  • Det går inte att integrera med externa data
  • Hög inlärningskurva och kräver kodningskunskap
Mer information Automatisera hotsvar med spelböcker i Microsoft Sentinel Visualisera insamlade data Använda Jupyter Notebooks för att söka efter säkerhetshot

Kommentera våra bloggar och forum

Vi älskar att höra från våra användare.

I TechCommunity-utrymmet för Microsoft Sentinel:

Du kan också skicka förslag på förbättringar via vårt User Voice-program .

Gå med i Microsoft Sentinel GitHub-communityn

Microsoft Sentinel GitHub-lagringsplatsen är en kraftfull resurs för hotidentifiering och automatisering.

Våra Microsoft-säkerhetsanalytiker skapar och lägger ständigt till nya arbetsböcker, spelböcker, jaktfrågor med mera och publicerar dem i communityn som du kan använda i din miljö.

Ladda ned exempelinnehåll från GitHub-lagringsplatsen för den privata communityn för att skapa anpassade arbetsböcker, jaktfrågor, notebook-filer och spelböcker för Microsoft Sentinel.

Nästa steg