Vanliga Microsoft Sentinel-arbetsböcker
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
I följande tabell visas de vanligaste, inbyggda Microsoft Sentinel-arbetsböckerna.
Få åtkomst till arbetsböcker i Microsoft Sentinel under Threat > Management-arbetsböcker till vänster och sök sedan efter den arbetsbok som du vill använda. Mer information finns i Visualisera och övervaka dina data.
Tips
Vi rekommenderar att du distribuerar alla arbetsböcker som är associerade med de data som du matar in. Arbetsböcker möjliggör bredare övervakning och undersökning baserat på dina insamlade data.
Mer information finns i Anslut datakällor och Identifiera och distribuera Microsoft Sentineldirekt innehåll och lösningar centralt.
| Arbetsbokens namn | Description |
|---|---|
| Analyseffektivitet | Ger insikter om de olika analysreglerna så att du får bättre SOC-prestanda. Mer information finns i Toolkit for Data-Driven SOCs. |
| Azure-aktivitet | Ger omfattande insikter om din organisations Azure-aktivitet genom att analysera och korrelera alla användaråtgärder och händelser. Mer information finns i Granskning med Azure-aktivitetsloggar. |
| Azure AD-granskningsloggar | Använder Azure Active Directory för att ge insikter om Azure AD-scenarier. Mer information finns i Snabbstart: Kom igång med Microsoft Sentinel. |
| Azure AD-gransknings-, aktivitets- och inloggningsloggar | Ger insikter Azure Active Directory data om granskning, aktivitet och inloggning med en arbetsbok. Visar aktivitet som inloggningar efter plats, enhet, felorsak, användaråtgärd med mera. Den här arbetsboken kan användas av både säkerhetsadministratörer och Azure-administratörer. |
| Azure AD-inloggningsloggar | Använder Azure AD-inloggningsloggar för att ge insikter om Azure AD-scenarier. |
| Certifiering av cybersäkerhetsmognadsmodell (CMMC) | Tillhandahåller en mekanism för att visa loggfrågor som är anpassade till CMMC-kontroller i Microsoft-portföljen, inklusive Microsofts säkerhetserbjudanden, Office 365, Teams, Intune, Windows Virtual Desktop och så vidare. Mer information finns i Arbetsbok för Cybersecurity Maturity Model Certification (CMMC) i allmänt tillgänglig förhandsversion. |
| Hälsoövervakning av datainsamling / Användningsövervakning | Ger insikter om arbetsytans datainmatningsstatus, till exempel inmatningsstorlek, svarstid och antal loggar per källa. Visa övervakare och identifiera avvikelser som hjälper dig att fastställa hälsotillståndet för arbetsytors datainsamling. Mer information finns i Övervaka hälsotillståndet för dina dataanslutningsappar med den här Microsoft Sentinel-arbetsboken. |
| Händelseanalys | Gör att du kan utforska, granska och påskynda Windows-händelselogganalys, inklusive all händelseinformation och attribut, till exempel säkerhet, program, system, installation, katalogtjänst, DNS och så vidare. |
| Exchange Online | Ger insikter om Microsoft Exchange online genom att spåra och analysera alla Exchange åtgärder och användaraktiviteter. |
| Identitet och åtkomst | Ger insikter om identitets- och åtkomståtgärder i Microsofts produktanvändning via säkerhetsloggar som innehåller gransknings- och inloggningsloggar. |
| Incidentöversikt | Utformad för att hjälpa till med granskning och undersökning genom att ge detaljerad information om en incident, inklusive allmän information, entitetsdata, tidsbegränsning, åtgärdstid och kommentarer. Mer information finns i Toolkit for Data-Driven SOCs. |
| Undersöknings- Insights | Ger analytiker insikt i incident-, bokmärkes- och entitetsdata. Vanliga frågor och detaljerade visualiseringar kan hjälpa analytiker att undersöka misstänkta aktiviteter. |
| Microsoft Defender för Cloud Apps – identifieringsloggar | Innehåller information om de molnappar som används i din organisation och insikter från användningstrender och detaljgranska data för specifika användare och program. Mer information finns i Anslut data från Microsoft Defender för Cloud Apps. |
| MITRE ATT&CK-arbetsbok | Innehåller information om MITRE ATT&CK-täckning för Microsoft Sentinel. |
| Office 365 | Ger insikter om Office 365 genom att spåra och analysera alla åtgärder och aktiviteter. Öka detaljgranska SharePoint, OneDrive, Teams och Exchange data. |
| Säkerhetsaviseringar | Tillhandahåller en instrumentpanel för säkerhetsaviseringar för aviseringar i Microsoft Sentinel-miljön. Mer information finns i Skapa incidenter automatiskt från Microsofts säkerhetsaviseringar. |
| Effektivitet för säkerhetsåtgärder | Avsedd för SOC-chefer (Security Operations Center) för att visa övergripande effektivitetsmått och mått om teamets prestanda. Mer information finns i Hantera soc bättre med incidentmått. |
| Hotinformation | Ger insikter om hotindikatorer, inklusive typ och allvarlighetsgrad för hot, hotaktivitet över tid och korrelation med andra datakällor, inklusive Office 365 och brandväggar. Mer information finns i Förstå hotinformation i Microsoft Sentinel. |
| Noll förtroende (TIC3.0) | Tillhandahåller en automatiserad visualisering Noll förtroende principer, korsvis gick till ramverket för betrodda Internetanslutningar. Mer information finns i arbetsboksbloggen Noll förtroende (TIC 3.0). |