常用的 Microsoft Sentinel 活頁簿
下表列出最常用的內建 Microsoft Sentinel 活頁簿。
在左側 [威脅管理>活頁簿] 下存取 Microsoft Sentinel 中的活頁簿,然後搜尋您想要使用的活頁簿。 如需詳細資訊,請參閱 可視化和監視您的數據。
提示
建議您部署與您內嵌的數據相關聯的任何活頁簿。 活頁簿可讓您根據收集的數據進行更廣泛的監視和調查。
如需詳細資訊,請參閱 連線 數據源和集中探索和部署現用的 Microsoft Sentinel 內容和解決方案。
| 活頁簿名稱 | 描述 |
|---|---|
| 分析效率 | 提供分析規則有效性的深入解析,以協助您達到更佳的SOC效能。 如需詳細資訊,請參閱 Data-Driven SOC 工具組。 |
| Azure 活動 | 藉由分析並關聯所有用戶作業和事件,提供組織 Azure 活動的廣泛見解。 如需詳細資訊,請參閱 使用 Azure 活動記錄進行稽核。 |
| Microsoft Entra 稽核記錄 | 使用 Microsoft Entra 稽核記錄來提供 Microsoft Entra 案例的深入解析。 如需詳細資訊,請參閱 快速入門:開始使用 Microsoft Sentinel。 |
| Microsoft Entra 稽核、活動和登入記錄 | 提供 Microsoft Entra 稽核、活動和使用一個活頁簿登入數據的深入解析。 顯示活動,例如依位置、裝置、失敗原因、用戶動作等等登入。 安全性與 Azure 系統管理員都可以使用此活頁簿。 |
| Microsoft Entra 登入記錄 | 使用 Microsoft Entra 登入記錄來提供 Microsoft Entra 案例的深入解析。 |
| Microsoft 雲端安全性基準 | 提供單一窗格,用於收集和管理數據,以解決 Microsoft 雲端安全性基準檢驗控制需求,匯總來自 25 個以上的 Microsoft 安全性產品的數據。 如需詳細資訊,請參閱 TechCommunity 部落格。 |
| 網路安全性成熟度模型認證 (CMMC) | 提供一種機制,用來檢視與 Microsoft 組合中 CMMC 控件一致的記錄查詢,包括 Microsoft 安全性供應專案、Office 365、Teams、Intune、Azure 虛擬桌面等等。 如需詳細資訊,請參閱 TechCommunity 部落格。 |
| 數據收集健全狀況監視使用量監視 / | 提供工作區數據擷取狀態的深入解析,例如擷取大小、延遲和每個來源的記錄數目。 檢視監視並偵測異常狀況,以協助您判斷工作區數據收集健康情況。 如需詳細資訊,請參閱 使用此 Microsoft Sentinel 活頁簿監視數據連接器的健康情況。 |
| 事件分析器 | 可讓您探索、稽核及加速 Windows 事件記錄分析,包括所有事件詳細數據和屬性,例如安全性、應用程式、系統、設定、目錄服務、DNS 等等。 |
| Exchange Online | 藉由追蹤和分析所有 Exchange 作業和用戶活動,提供 Microsoft Exchange Online 的深入解析。 |
| 身分識別與存取權 | 透過包含稽核和登入記錄的安全性記錄,提供 Microsoft 產品使用量中身分識別和存取作業的見解。 |
| 事件概觀 | 其設計目的是提供事件的相關深入資訊,包括一般資訊、實體數據、分級時間、緩和時間和批注,以協助分級和調查。 如需詳細資訊,請參閱 Data-Driven SOC 工具組。 |
| 調查深入解析 | 提供分析師對事件、書籤和實體數據的深入解析。 常見的查詢和詳細的視覺效果可協助分析師調查可疑的活動。 |
| 適用於雲端的 Microsoft Defender 應用程式 - 探索記錄 | 提供有關組織中所用雲端應用程式的詳細數據,以及特定使用者和應用程式的使用量趨勢和向下切入數據的深入解析。 如需詳細資訊,請參閱從 適用於雲端的 Microsoft Defender Apps 連線 數據。 |
| MITRE ATT&CK 活頁簿 | 提供 Microsoft Sentinel 的 MITRE ATT&CK 涵蓋範圍詳細數據。 |
| Office 365 | 藉由追蹤和分析所有作業和活動,提供 Office 365 的見解。 向下切入至 SharePoint、OneDrive、Teams 和 Exchange 數據。 |
| 安全性警示 | 提供 Microsoft Sentinel 環境中警示的安全性警示儀錶板。 如需詳細資訊,請參閱 從 Microsoft 安全性警示自動建立事件。 |
| 安全性作業效率 | 適用於安全性作業中心 (SOC) 經理,以檢視小組效能的整體效率計量和量值。 如需詳細資訊,請參閱 使用事件計量更妥善地管理SOC。 |
| 威脅情報 | 提供威脅指標的深入解析,包括威脅的類型和嚴重性、一段時間內的威脅活動,以及與其他數據源的相互關聯,包括 Office 365 和防火牆。 如需詳細資訊,請參閱 瞭解 Microsoft Sentinel 中的威脅情報和 TechCommunity 部落格。 |
| 零信任 (TIC3.0) | 提供 零信任 原則的自動化視覺效果,並交叉引導至受信任的因特網 連線 架構。 如需詳細資訊,請參閱 零信任 (TIC 3.0) 活頁簿公告部落格。 |