Nuttige bronnen voor het werken met Microsoft Sentinel

  • Artikel
  • 2 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

In dit artikel vindt u resources die u kunnen helpen meer informatie te krijgen over het werken met Microsoft Sentinel.

Meer informatie over het maken van query's

Microsoft Sentinel gebruikt Azure Monitor Kusto Query Language (KQL) van Log Analytics om query's te bouwen. Zie voor meer informatie:

Meer informatie over het maken van automatisering

Maak automatisering in Microsoft Sentinel met Azure Logic Apps, met een groeiende galerie met ingebouwde playbooks.

Zie connectors voor Azure Logic Apps meer informatie.

Playbooks, werkmappen en notebooks vergelijken

In de volgende tabel worden de verschillen tussen playbooks, werkmappen en notebooks in Microsoft Sentinel beschreven:

Categorie Playbooks Werkmappen Notebooks
Persona's
  • SOC-technici
  • Analisten van alle lagen
  • SOC-technici
  • Analisten van alle lagen
  • Bedreigingen en Laag-2/Laag-3-analisten
  • Onderzoekers van incidenten
  • Gegevenswetenschappers
  • Beveiligingsonderzoekers
Gebruikt Automatisering van eenvoudige, herhaalbare taken:
  • Externe gegevens opnemen
  • Gegevensverrijking met TI, GeoIP-zoekactie en meer
  • Onderzoek
  • Herstel
  • Visualisatie
  • Query's uitvoeren op Microsoft Sentinel-gegevens en externe gegevens
  • Gegevensverrijking met TI, GeoIP-zoekups en zoekups van WhoIs, en meer
  • Onderzoek
  • Visualisatie
  • Zoeken
  • Machine learning en big data analytics
Voordelen
  • Het beste voor enkelvoudige, herhaalbare taken
  • Er is geen programmeerkennis vereist
  • Het beste voor een weergave op hoog niveau van Microsoft Sentinel-gegevens
  • Er is geen programmeerkennis vereist
  • Het beste voor complexe ketens van herhaalbare taken
  • Ad-hoc, meer procedurele controle
  • Eenvoudiger te draaien met interactieve functionaliteit
  • Uitgebreide Python-bibliotheken voor gegevensmanipulatie en -visualisatie
  • Machine learning en aangepaste analyse
  • Eenvoudig te documenteren en analyse-bewijs te delen
Uitdagingen
  • Niet geschikt voor ad-hoc en complexe ketens van taken
  • Niet ideaal voor het documenteren en delen van bewijs
  • Kan niet integreren met externe gegevens
  • Hoge leercurve en vereist coderingskennis
Meer informatie Bedreigingsreactie automatiseren met playbooks in Microsoft Sentinel Verzamelde gegevens visualiseren Jupyter-notebooks gebruiken om te zoeken naar beveiligingsrisico's

Opmerkingen plaatsen op onze blogs en forums

We horen graag van onze gebruikers.

In de TechCommunity-ruimte voor Microsoft Sentinel:

U kunt ook suggesties voor verbeteringen verzenden via ons User Voice-programma.

Word lid van de Microsoft Sentinel GitHub community

De Microsoft Sentinel GitHub-opslagplaats is een krachtige resource voor detectie en automatisering van bedreigingen.

Onze Microsoft-beveiligingsanalisten werken voortdurend aan het maken en toevoegen van nieuwe werkmappen, playbooks, opsporingsquery's en meer en plaatsen deze in de community zodat u ze in uw omgeving kunt gebruiken.

Download voorbeeldinhoud van de privé-community GitHub opslagplaats om aangepaste werkmappen, hunting-query's, notebooks en playbooks voor Microsoft Sentinel te maken.

Volgende stappen

Laat u certificeren.

Use-caseverhalen van klanten lezen