使用 Microsoft Sentinel 的實用資源

注意

Azure Sentinel 已改名為 Microsoft Sentinel,我們將在未來幾週更新這些分頁。 深入了解最新的 Microsoft 安全性增強功能

本文列出可協助您取得使用 Microsoft Sentinel 之詳細資訊的資源。

進一步了解建立查詢

Microsoft Sentinel 會使用 Azure 監視器 Log Analytics 的 Kusto 查詢語言 (KQL) 來建置查詢。 如需詳細資訊,請參閱

所要監視資料的 Microsoft Sentinel 範本

Azure Active Directory 安全性作業指南包含針對數個作業領域,對監視安全性用途而言很重要之資料的特定指引與知識。

在每個文章中,檢查名為要監視的事物區段,以監視建議警示及調查的事件清單,以及直接部署至 Microsoft Sentinel 的分析規則範本。

深入了解如何建立自動化

使用 Azure Logic Apps 在 Microsoft Sentinel 中建立自動化,其中包含成長的內建劇本資源庫。

如需詳細資訊,請參閱 Azure Logic Apps 連接器

比較劇本、活頁簿與筆記本

下列資料表說明 Microsoft Sentinel 中劇本、活頁簿與筆記本之間的差異:

類別 劇本 活頁簿 Notebooks
角色
  • SOC 工程師
  • 所有階層的分析師
  • SOC 工程師
  • 所有階層的分析師
  • 威脅搜捕者與第 2 層/第 3 層分析師
  • 事件調查人員
  • 資料科學家
  • 安全性研究員
使用 將簡單且可重複的工作自動化:
  • 內嵌外部資料
  • 使用 TI 與 GeoIP 查閱等資料擴充
  • 調查
  • 修復
  • 視覺效果
  • 查詢 Microsoft Sentinel 資料與外部資料
  • 使用 TI、GeoIP 查閱與 WhoIs 查閱等資料擴充
  • 調查
  • 視覺效果
  • 搜捕
  • 機器學習與巨量資料分析
優點
  • 適用於單一且可重複的工作
  • 不需要任何程式碼知識
  • 適用於 Microsoft Sentinel 資料的高階檢視
  • 不需要任何程式碼知識
  • 適用於複雜的可重複工作鏈結
  • 更多特定程序性控制
  • 更容易使用互動式功能進行樞紐分析
  • 適用於資料操作與視覺效果的豐富 Python 程式庫
  • 機器學習與自訂分析
  • 易於進行文件加註與共用分析證據
挑戰
  • 不適用於複雜的特定工作鏈結
  • 不適用於進行文件加註及共用證據
  • 無法與外部資料整合
  • 高學習曲線,需要程式碼知識
詳細資訊 使用 Microsoft Sentinel 中的劇本將威脅回應自動化 將收集的資料視覺化 使用 Jupyter Notebook 搜捕安全性威脅

在我們的部落格與論壇上提供評論

我們非常樂於聽到使用者的意見反應。

在 Microsoft Sentinel 的 TechCommunity 空間中:

您也可以透過我們的 User Voice 程式傳送改善建議。

加入 Microsoft Sentinel GitHub 社群

Microsoft Sentinel GitHub 存放庫是一個用於威脅偵測及自動化的強大資源。

我們的 Microsoft 安全性分析師會不斷地建立和新增活頁簿、劇本、搜捕查詢和更多項目,並將這些項目張貼到社群,以便您在自己的環境中使用。

您可以從私人社群 GitHub 存放庫中下載範例內容,以便為 Microsoft Sentinel 建立自訂活頁簿、搜捕查詢、筆記本與劇本。

下一步