Användbara resurser för att arbeta med Microsoft Sentinel

  • Artikel
  • 2 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Den här artikeln innehåller resurser som kan hjälpa dig att få mer information om hur du arbetar med Microsoft Sentinel.

Läs mer om att skapa frågor

Microsoft Sentinel använder Azure Monitor Log Analytics Kusto Query Language (KQL) för att skapa frågor. Mer information finns i:

Läs mer om att skapa automatisering

Skapa automatisering i Microsoft Sentinel med Azure Logic Apps, med ett växande galleri med inbyggda spelböcker.

Mer information finns i Azure Logic Apps anslutningsappar.

Jämför spelböcker, arbetsböcker och anteckningsböcker

I följande tabell beskrivs skillnaderna mellan spelböcker, arbetsböcker och anteckningsböcker i Microsoft Sentinel:

Kategori Spelböcker Arbetsböcker Notebooks
Profiler
  • SOC-tekniker
  • Analytiker på alla nivåer
  • SOC-tekniker
  • Analytiker på alla nivåer
  • Hothot och nivå 2/nivå 3-analytiker
  • Incidentutredare
  • Dataforskare
  • Säkerhetsforskare
Använder Automatisering av enkla, repeterbara uppgifter:
  • Mata in externa data
  • Databerikning med TI, GeoIP-uppslag med mera
  • Undersökning
  • Åtgärder
  • Visualisering
  • Köra frågor mot Microsoft Sentinel-data och externa data
  • Databerikning med TI, GeoIP-uppslag och WhoIs-uppslag med mera
  • Undersökning
  • Visualisering
  • Hotjakt
  • Maskininlärning och stordataanalys
Fördelar
  • Bäst för enstaka, repeterbara uppgifter
  • Ingen kodningskunskap krävs
  • Bäst för en högnivåvy över Microsoft Sentinel-data
  • Ingen kodningskunskap krävs
  • Bäst för komplexa kedjor av repeterbara uppgifter
  • Ad hoc, mer procedurkontroll
  • Enklare att pivotera med interaktiva funktioner
  • Omfattande Python-bibliotek för datamanipulering och visualisering
  • Maskininlärning och anpassad analys
  • Lätt att dokumentera och dela analysbevis
Utmaningar
  • Inte lämplig för ad hoc-kedjor och komplexa uppgiftskedjor
  • Inte idealiskt för att dokumentera och dela bevis
  • Det går inte att integrera med externa data
  • Hög inlärningskurva och kräver kodningskunskaper
Mer information Automatisera hotsvar med spelböcker i Microsoft Sentinel Visualisera insamlade data Använda Jupyter Notebooks för att leta efter säkerhetshot

Kommentera våra bloggar och forum

Vi älskar att höra från våra användare.

I TechCommunity-utrymmet för Microsoft Sentinel:

Du kan också skicka förslag på förbättringar via vårt User Voice-program.

Gå med i Microsoft Sentinel GitHub communityn

Microsoft Sentinel-GitHub är en kraftfull resurs för hotidentifiering och automatisering.

Våra säkerhetsanalytiker på Microsoft skapar och lägger hela tiden till nya arbetsböcker, spelböcker, jaktfrågor med mera och publicerar dem i communityn så att du kan använda dem i din miljö.

Ladda ned exempelinnehåll från den privata community-GitHub-lagringsplatsen för att skapa anpassade arbetsböcker, jaktfrågor, anteckningsböcker och spelböcker för Microsoft Sentinel.

Nästa steg

Bli certifierad!

Läsa kundanvändningsfall