Veelgebruikte Microsoft Sentinel-werkmappen
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
De volgende tabel bevat de meest gebruikte, ingebouwde Microsoft Sentinel-werkmappen.
Ga naar werkmappen in Microsoft Sentinel onder Werkmappen voor bedreigingsbeheer aan de linkerkant en zoek vervolgens naar de > werkmap die u wilt gebruiken. Zie Visualize and monitor your data (Uw gegevens visualiseren en bewaken) voor meer informatie.
Tip
U wordt aangeraden werkmappen te implementeren die zijn gekoppeld aan de gegevens die u opeengenomen. Werkmappen maken uitgebreidere bewaking en onderzoek mogelijk op basis van uw verzamelde gegevens.
Zie gegevensbronnen Verbinding maken en Microsoft Sentinel out-of-the-box-inhouden -oplossingen centraal ontdekken en implementeren voor meer informatie.
| Werkmapnaam | Description |
|---|---|
| Analyse-efficiëntie | Biedt inzicht in de werking van uw analyseregels om u te helpen betere SOC-prestaties te bereiken. Zie The Toolkit for Data-Driven SOCs (De Toolkit voor Data-Driven SOC's) voor meer informatie. |
| Azure-activiteit | Biedt uitgebreid inzicht in de Azure-activiteit van uw organisatie door alle gebruikersbewerkingen en -gebeurtenissen te analyseren en te correeren. Zie Controle met Azure-activiteitenlogboeken voor meer informatie. |
| Auditlogboeken van Azure AD | Maakt gebruik Azure Active Directory auditlogboeken om inzicht te krijgen in Azure AD-scenario's. Zie Quickstart: Aande slag met Microsoft Sentinel voor meer informatie. |
| Audit-, activiteiten- en aanmeldingslogboeken van Azure AD | Biedt inzicht in Azure Active Directory gegevens over controle, activiteit en aanmelding met één werkmap. Geeft activiteit weer, zoals aanmeldingen op locatie, apparaat, reden van fout, actie van gebruiker en meer. Deze werkmap kan worden gebruikt door zowel beveiligingsbeheerders als Azure-beheerders. |
| Aanmeldingslogboeken voor Azure AD | Maakt gebruik van de Azure AD-aanmeldingslogboeken om inzicht te krijgen in Azure AD-scenario's. |
| Cybersecurity Maturity Model Certification (CMMC) | Biedt een mechanisme voor het weergeven van logboekquery's die zijn afgestemd op CMMC-besturingselementen in het Microsoft-portfolio, waaronder Microsoft-beveiligingsaanbiedingen, Office 365, Teams, Intune, Windows Virtual Desktop, en meer. Zie De werkmap Cybersecurity Maturity Model Certification (CMMC) in de openbare preview voor meer informatie. |
| Statuscontrole van gegevensverzameling / Gebruiksbewaking | Biedt inzicht in de gegevensingestiestatus van uw werkruimte, zoals de opnamegrootte, latentie en het aantal logboeken per bron. Bekijk monitors en detecteer afwijkingen om u te helpen de status van het verzamelen van gegevens in uw werkruimten te bepalen. Zie De status van uw gegevensconnectoren bewaken met deze Microsoft Sentinel-werkmap voor meer informatie. |
| Event Analyzer | Hiermee kunt u verkennen, controleren en versnellen Windows gebeurtenislogboekanalyse, met inbegrip van alle gebeurtenisdetails en kenmerken, zoals beveiliging, toepassing, systeem, installatie, adreslijstservice, DNS, en meer. |
| Exchange Online | Biedt inzicht in Microsoft Exchange online door alle Exchange en gebruikersactiviteiten te traceren en te analyseren. |
| Identiteit en toegang | Biedt inzicht in identiteits- en toegangsbewerkingen in microsoft-productgebruik, via beveiligingslogboeken met audit- en aanmeldingslogboeken. |
| Incidentoverzicht | Ontworpen om te helpen bij het zoeken en onderzoeken door uitgebreide informatie over een incident op te geven, waaronder algemene informatie, entiteitsgegevens, triagetijd, beperkingstijd en opmerkingen. Zie The Toolkit for Data-Driven SOCs (De Toolkit voor Data-Driven SOC's) voor meer informatie. |
| Onderzoek Insights | Biedt analisten inzicht in incident-, bladwijzer- en entiteitsgegevens. Algemene query's en gedetailleerde visualisaties kunnen analisten helpen bij het onderzoeken van verdachte activiteiten. |
| Microsoft Defender voor Cloud Apps - detectielogboeken | Biedt details over de cloud-apps die worden gebruikt in uw organisatie en inzichten op basis van gebruikstrends en inzoomgegevens voor specifieke gebruikers en toepassingen. Zie gegevens van Microsoft Defender Verbinding maken Cloud Apps voor meer informatie. |
| MITRE ATT&CK-werkmap | Biedt informatie over MITRE ATT&CK-dekking voor Microsoft Sentinel. |
| Office 365 | Biedt inzicht in Office 365 door alle bewerkingen en activiteiten te traceren en te analyseren. Zoom in op SharePoint, OneDrive, Teams en Exchange gegevens. |
| Beveiligingswaarschuwingen | Biedt een dashboard Voor beveiligingswaarschuwingen voor waarschuwingen in uw Microsoft Sentinel-omgeving. Zie Automatisch incidenten maken van Microsoft-beveiligingswaarschuwingen voor meer informatie. |
| Efficiëntie van beveiligingsbewerkingen | Bedoeld voor SECURITY Operations Center-managers (SOC) om algemene metrische gegevens over efficiëntie en metingen met betrekking tot de prestaties van hun team weer te geven. Zie Manage your SOC better with incident metrics (Uw SOC beter beheren met metrische gegevens over incidenten) voor meer informatie. |
| Bedreigingsinformatie | Biedt inzicht in bedreigingsindicatoren, waaronder het type en de ernst van bedreigingen, bedreigingsactiviteit gedurende een periode en correlatie met andere gegevensbronnen, waaronder Office 365 en firewalls. Zie Informatie over bedreigingen begrijpen in Microsoft Sentinel voor meer informatie. |
| Zero Trust (TIC3.0) | Biedt een geautomatiseerde visualisatie van Zero Trust principes, die in het framework voor vertrouwde internetverbindingen aan de basis zijn geplaatst. Zie de blog Zero Trust (TIC 3.0)-werkmapvoor meer informatie. |