Vanliga Microsoft Sentinel-arbetsböcker
I följande tabell visas de vanligaste, inbyggda Microsoft Sentinel-arbetsböckerna.
Få åtkomst till arbetsböcker i Microsoft Sentinel under Arbetsböcker för hothantering>till vänster och sök sedan efter den arbetsbok som du vill använda. Mer information finns i Visualisera och övervaka dina data.
Dricks
Vi rekommenderar att du distribuerar alla arbetsböcker som är associerade med de data som du matar in. Arbetsböcker möjliggör bredare övervakning och undersökning baserat på dina insamlade data.
Mer information finns i Anslut datakällor och Centralt identifiera och distribuera innehåll och lösningar i Microsoft Sentinel.
| Arbetsboksnamn | beskrivning |
|---|---|
| Analyseffektivitet | Ger insikter om effekten av dina analysregler som hjälper dig att uppnå bättre SOC-prestanda. Mer information finns i Verktygslådan för datadrivna SOC:er. |
| Azure-aktivitet | Ger omfattande insikter om din organisations Azure-aktivitet genom att analysera och korrelera alla användaråtgärder och händelser. Mer information finns i Granskning med Azure-aktivitetsloggar. |
| Microsoft Entra-granskningsloggar | Använder Microsoft Entra-granskningsloggar för att ge insikter om Microsoft Entra-scenarier. Mer information finns i Snabbstart: Kom igång med Microsoft Sentinel. |
| Microsoft Entra-gransknings-, aktivitets- och inloggningsloggar | Ger insikter om Microsoft Entra-gransknings-, aktivitets- och inloggningsdata med en arbetsbok. Visar aktivitet som inloggningar efter plats, enhet, felorsak, användaråtgärd med mera. Den här arbetsboken kan användas av både säkerhets- och Azure-administratörer. |
| Inloggningsloggar för Microsoft Entra | Använder Inloggningsloggarna för Microsoft Entra för att ge insikter om Microsoft Entra-scenarier. |
| Microsoft Cloud Security Benchmark | Innehåller en enda fönsterruta för att samla in och hantera data för att hantera microsofts krav på prestandamått för molnsäkerhet, aggregera data från 25+ Microsoft-säkerhetsprodukter. Mer information finns i vår TechCommunity-blogg. |
| Certifiering av cybersäkerhetsmognadsmodell (CMMC) | Tillhandahåller en mekanism för att visa loggfrågor som är anpassade till CMMC-kontroller i Microsoft-portföljen, inklusive Microsofts säkerhetserbjudanden, Office 365, Teams, Intune, Azure Virtual Desktop och så vidare. Mer information finns i vår TechCommunity-blogg. |
| Hälsoövervakning / av datainsamling Användningsövervakning | Ger insikter om arbetsytans datainmatningsstatus, till exempel inmatningsstorlek, svarstid och antal loggar per källa. Visa övervakare och identifiera avvikelser som hjälper dig att fastställa datainsamlingshälsa för arbetsytor. Mer information finns i Övervaka hälsotillståndet för dina dataanslutningar med den här Microsoft Sentinel-arbetsboken. |
| Händelseanalys | Gör att du kan utforska, granska och påskynda Analysen av Windows-händelseloggar, inklusive all händelseinformation och alla attribut, till exempel säkerhet, program, system, installation, katalogtjänst, DNS och så vidare. |
| Exchange Online | Ger insikter om Microsoft Exchange online genom att spåra och analysera alla Exchange-åtgärder och användaraktiviteter. |
| Identitet och åtkomst | Ger insikt i identitets- och åtkomståtgärder i Microsofts produktanvändning via säkerhetsloggar som omfattar gransknings- och inloggningsloggar. |
| Incidentöversikt | Utformad för att hjälpa till med sortering och undersökning genom att tillhandahålla detaljerad information om en incident, inklusive allmän information, entitetsdata, triagetid, minskningstid och kommentarer. Mer information finns i Verktygslådan för datadrivna SOC:er. |
| Undersökningsinsikter | Ger analytiker insikt i incident-, bokmärkes- och entitetsdata. Vanliga frågor och detaljerade visualiseringar kan hjälpa analytiker att undersöka misstänkta aktiviteter. |
| Microsoft Defender för molnet Apps – identifieringsloggar | Innehåller information om de molnappar som används i din organisation och insikter från användningstrender och data för ökad detaljnivå för specifika användare och program. Mer information finns i Anslut data från Microsoft Defender för molnet Apps. |
| MITRE ATT&CK-arbetsbok | Innehåller information om MITRE ATT&CK-täckning för Microsoft Sentinel. |
| Office 365 | Ger insikter om Office 365 genom att spåra och analysera alla åtgärder och aktiviteter. Öka detaljnivån i SharePoint, OneDrive, Teams och Exchange-data. |
| Säkerhetsaviseringar | Tillhandahåller en instrumentpanel för säkerhetsaviseringar för aviseringar i din Microsoft Sentinel-miljö. Mer information finns i Skapa incidenter automatiskt från Microsofts säkerhetsaviseringar. |
| Effektivitet för säkerhetsåtgärder | Avsett för SOC-chefer (Security Operations Center) för att visa övergripande effektivitetsmått och mått för teamets prestanda. Mer information finns i Hantera din SOC bättre med incidentmått. |
| Hotinformation | Ger insikter om hotindikatorer, inklusive typ och allvarlighetsgrad för hot, hotaktivitet över tid och korrelation med andra datakällor, inklusive Office 365 och brandväggar. Mer information finns i Förstå hotinformation i Microsoft Sentinel och vår TechCommunity-blogg. |
| Nolltillit (TIC3.0) | Tillhandahåller en automatiserad visualisering av Nolltillit principer, som går över till ramverket Trusted Internet Anslut ions. Mer information finns i Nolltillit (TIC 3.0) arbetsboksmeddelandeblogg. |