使用 Microsoft Sentinel 的實用資源

本文列出可協助您取得使用 Microsoft Sentinel 的詳細資訊的資源。

深入瞭解如何建立查詢

Microsoft Sentinel 會使用 Azure 監視器 Log Analytics 的 Kusto 查詢語言（KQL）來建置查詢。如需詳細資訊，請參閱

Microsoft Entra Security Operations Guide 包含特定指引和有關基於安全性目的監視資料的特定指引和知識，適用于數個作業區域。

在每個文章中，檢查名為 Things 的區段，以監視建議警示和調查的事件清單，以及要直接部署至 Microsoft Sentinel 的分析規則範本。

使用 Azure Logic Apps 在 Microsoft Sentinel 中建立自動化，其中包含內建劇本的成長資源庫。

如需詳細資訊，請參閱 Azure Logic Apps 連接器。

下表說明 Microsoft Sentinel 中的劇本、活頁簿和筆記本之間的差異：

類別	劇本	活頁簿	Notebooks
角色	SOC 工程師所有階層的分析師	SOC 工程師所有階層的分析師	威脅獵人和第 2 層/第 3 層分析師事件調查人員資料科學家安全性研究人員
使用	簡單、可重複工作的自動化：內嵌外部資料使用 TI、GeoIP 查閱等資料擴充調查修復	視覺效果	查詢 Microsoft Sentinel 資料和外部資料使用 TI、GeoIP 查閱和神秘Is 查閱等資料擴充調查可視化狩獵機器學習和巨量資料分析
優點	最適合單一、可重複的工作不需要程式碼撰寫知識	最適合用於 Microsoft Sentinel 資料的高階檢視不需要程式碼撰寫知識	最適合用於可重複工作的複雜鏈結臨機操作、更多程式性控制使用互動式功能更容易樞紐適用于資料操作和視覺效果的豐富 Python 程式庫機器學習和自訂分析易於記載及共用分析辨識項
挑戰	不適用於特定和複雜的工作鏈結不適合用于記錄和共用辨識項	無法與外部資料整合	高學習曲線，需要撰寫程式碼知識
詳細資訊	使用 Microsoft Sentinel 中的劇本將威脅回應自動化	將收集的資料視覺化	使用 Jupyter Notebook 來搜尋安全性威脅

我們喜歡聽聽使用者。

在 Microsoft Sentinel 的 TechCommunity 空間中：

您也可以透過我們的 User Voice 計畫傳送改進建議。

Microsoft Sentinel GitHub 存放庫是威脅偵測和自動化的強大資源。

我們的 Microsoft 安全性分析師會持續建立並新增活頁簿、劇本、搜捕查詢等等，將它們張貼到社群，讓您在環境中使用。

從私人社群 GitHub 存放庫下載範例內容，以建立適用於 Microsoft Sentinel 的自訂活頁簿、搜捕查詢、筆記本和劇本。