你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

对使用 Microsoft Sentinel 有用的资源

本文列出了一些资源，它们有助于你详细了解如何使用 Microsoft Sentinel。

了解有关创建查询的详细信息

Microsoft Sentinel 使用 Azure Monitor Log Analytics 的 Kusto 查询语言 (KQL) 来生成查询。有关详细信息，请参阅：

Azure Active Directory 安全操作指南包括的特定指南和知识涉及出于安全目的而必须进行监视的数据，针对多个操作领域。

在每篇文章中，请查看名为要监视的内容的部分，了解我们建议你引起警觉并对其进行调查的事件的列表，以及可直接部署到 Microsoft Sentinel 的分析规则模板。

使用 Azure 逻辑应用在 Microsoft Sentinel 中创建自动化，以应对不断扩大的内置 playbook 库。

有关详细信息，请参阅 Azure 逻辑应用连接器。

下表说明了 Microsoft Sentinel 中的 playbook、工作簿和笔记本之间的区别：

类别	攻略	工作簿	笔记本
角色	SOC 工程师所有层级的分析师	SOC 工程师所有层级的分析师	威胁搜寻者和第 2 层/第 3 层分析师事件调查者数据科学家安全研究人员
使用	自动完成简单的可重复任务：引入外部数据使用 TI、GeoIP 查找等功能进行数据扩充调查补救	可视化效果	查询 Microsoft Sentinel 数据和外部数据使用 TI、GeoIP 查找、WhoIs 查找等功能进行数据扩充调查可视化效果搜寻机器学习和大数据分析
优点	最适合单个可重复任务无需编码知识	最适合概要了解 Microsoft Sentinel 数据无需编码知识	最适合复杂的可重复任务链临时使用，更多过程控制可以使用交互功能更轻松地进行透视丰富的 Python 库，适用于数据操作和可视化机器学习和自定义分析易于记录和共享分析证据
挑战	不适合临时的和复杂的任务链不适合记录和共享证据	不能与外部数据集成	跨越式的学习曲线，需要编码知识
详细信息	在 Microsoft Sentinel 中使用 playbook 自动响应威胁	可视化收集的数据	使用 Jupyter 笔记本搜寻安全威胁

我们乐于倾听用户的声音。

在 Microsoft Sentinel 的 TechCommunity 空间中：

还可以通过用户之声计划发送有关改进的建议。

Sentinel GitHub 存储库提供有关威胁检测和自动化的强有力资源。

Microsoft 安全分析师会不断创建和添加新的工作簿、Playbook、搜寻式查询及其他资源，并将其发布到社区，供你在环境中使用。

从个人社区 GitHub 存储库下载示例内容，以创建适用于 Microsoft Sentinel 的自定义工作簿、搜寻查询、笔记本和 playbook。