你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

对使用 Microsoft Sentinel 有用的资源

注意

Azure Sentinel 现在称为 Microsoft Sentinel,我们将在几周内更新相关页面。 详细了解最近的 Microsoft 安全性增强

本文列出了一些资源,它们有助于你详细了解如何使用 Microsoft Sentinel。

了解有关创建查询的详细信息

Microsoft Sentinel 使用 Azure Monitor Log Analytics 的 Kusto 查询语言 (KQL) 来生成查询。 有关详细信息,请参阅:

适用于要监视的数据的 Microsoft Sentinel 模板

Azure Active Directory 安全操作指南包括的特定指南和知识涉及出于安全目的而必须进行监视的数据,针对多个操作领域。

在每篇文章中,请查看名为要监视的内容的部分,了解我们建议你引起警觉并对其进行调查的事件的列表,以及可直接部署到 Microsoft Sentinel 的分析规则模板。

了解有关创建自动化的详细信息

使用 Azure 逻辑应用在 Microsoft Sentinel 中创建自动化,以应对不断扩大的内置 playbook 库。

有关详细信息,请参阅 Azure 逻辑应用连接器

比较 playbook、工作簿和笔记本

下表说明了 Microsoft Sentinel 中的 playbook、工作簿和笔记本之间的区别:

类别 攻略 工作簿 笔记本
角色
  • SOC 工程师
  • 所有层级的分析师
  • SOC 工程师
  • 所有层级的分析师
  • 威胁搜寻者和第 2 层/第 3 层分析师
  • 事件调查者
  • 数据科学家
  • 安全研究人员
使用 自动完成简单的可重复任务:
  • 引入外部数据
  • 使用 TI、GeoIP 查找等功能进行数据扩充
  • 调查
  • 补救
  • 可视化效果
  • 查询 Microsoft Sentinel 数据和外部数据
  • 使用 TI、GeoIP 查找、WhoIs 查找等功能进行数据扩充
  • 调查
  • 可视化效果
  • 搜寻
  • 机器学习和大数据分析
优点
  • 最适合单个可重复任务
  • 无需编码知识
  • 最适合概要了解 Microsoft Sentinel 数据
  • 无需编码知识
  • 最适合复杂的可重复任务链
  • 临时使用,更多过程控制
  • 可以使用交互功能更轻松地进行透视
  • 丰富的 Python 库,适用于数据操作和可视化
  • 机器学习和自定义分析
  • 易于记录和共享分析证据
挑战
  • 不适合临时的和复杂的任务链
  • 不适合记录和共享证据
  • 不能与外部数据集成
  • 跨越式的学习曲线,需要编码知识
详细信息 在 Microsoft Sentinel 中使用 playbook 自动响应威胁 可视化收集的数据 使用 Jupyter 笔记本搜寻安全威胁

在博客和论坛上发表评论

我们乐于倾听用户的声音。

在 Microsoft Sentinel 的 TechCommunity 空间中:

还可以通过用户之声计划发送有关改进的建议。

加入 Microsoft Sentinel GitHub 社区

Sentinel GitHub 存储库提供有关威胁检测和自动化的强有力资源。

Microsoft 安全分析师会不断创建和添加新的工作簿、Playbook、搜寻式查询及其他资源,并将其发布到社区,供你在环境中使用。

从个人社区 GitHub 存储库下载示例内容,以创建适用于 Microsoft Sentinel 的自定义工作簿、搜寻查询、笔记本和 playbook。

后续步骤