Häufig verwendete Microsoft Sentinel-Arbeitsmappen
In diesem Artikel werden die am häufigsten verwendeten Microsoft Sentinel-Arbeitsmappen aufgeführt. Installieren Sie die Lösung oder das eigenständige Element, das die Arbeitsmappe aus dem Inhaltshub in Microsoft Sentinel enthält. Rufen Sie die Arbeitsmappe vom Inhaltshub ab, indem Sie "Verwalten" für die Lösung oder das eigenständige Element auswählen. Oder wechseln Sie in Microsoft Sentinel unter Bedrohungsverwaltung zu Arbeitsmappen , und suchen Sie nach der Arbeitsmappe, die Sie verwenden möchten. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten.
Es wird empfohlen, alle Arbeitsmappen bereitzustellen, die den Daten zugeordnet sind, die Sie in Microsoft Sentinel aufnehmen. Arbeitsmappen ermöglichen eine umfassendere Überwachung und Untersuchung basierend auf Ihren gesammelten Daten. Weitere Informationen finden Sie unter Microsoft Sentinel-Datenconnectors und Entdecken und Verwalten von sofort einsatzbereiten Inhalten von Microsoft Sentinel.
Häufig verwendete Arbeitsmappen
Die folgende Tabelle enthält Arbeitsmappen, die empfohlen werden, und das Lösungs- oder eigenständige Element aus dem Inhaltshub, der die Arbeitsmappe enthält.
| Arbeitsmappenname | Beschreibung | Titel des Inhaltshubs |
|---|---|---|
| Analyseintegrität und -überwachung | Bietet Einblicke in die Integrität und Überwachung Ihrer Analyseregeln. Erfahren Sie, ob eine Analyseregel wie erwartet ausgeführt wird, und erhalten Sie eine Liste der Änderungen, die an einer Analyseregel vorgenommen wurden. Weitere Informationen finden Sie unter Überwachen der Integrität und Überwachung der Integrität Ihrer Analyseregeln. |
Analyseintegrität und -überwachung |
| Azure-Aktivität | Mit dieser Arbeitsmappe gewinnen Sie umfassende Erkenntnisse über die Azure-Aktivität Ihrer Organisation, indem alle Benutzervorgänge und Ereignisse analysiert und korreliert werden. Weitere Informationen finden Sie unter Überwachen mit Azure-Aktivitätsprotokollen. |
Azure-Aktivität |
| Einführung zum Azure Security-Vergleichstest | Bietet Sichtbarkeit für den Sicherheitsstatus von Cloudworkloads. Anzeigen von Protokollabfragen, Azure-Ressourcendiagrammen und Richtlinien, die an Azure Security Benchmark-Kontrollen in microsoft-Sicherheitsangeboten, Azure, Microsoft 365, Drittanbieter, lokalen und Multicloud-Workloads ausgerichtet sind. Weitere Informationen finden Sie in unserem TechCommunity-Blog. |
Einführung zum Azure Security-Vergleichstest |
| Cybersecurity Maturity Model Certification (CMMC) | Bietet eine Möglichkeit zum Anzeigen von Protokollabfragen, die an CMMC-Steuerelemente im gesamten Microsoft-Portfolio ausgerichtet sind, einschließlich Microsoft-Sicherheitsangeboten, Microsoft 365, Microsoft Teams, Intune, Azure Virtual Desktop und mehr. Weitere Informationen finden Sie in unserem TechCommunity-Blog. |
Cybersecurity Maturity Model Certification (CMMC) 2.0 |
| Überwachung der Datenerfassungsintegrität | Bietet Informationen zum Datensammlungsstatus Ihres Arbeitsbereichs, z. B. Erfassungsgröße, Latenz und Anzahl von Protokollen pro Quelle. Überwacht und erkennt Anomalien, um Ihre Arbeitsbereiche bei der Datensammlungsintegrität zu ermitteln. Weitere Informationen finden Sie unter Überwachen der Integrität Ihrer Datenconnectors mit dieser Microsoft Sentinel-Arbeitsmappe. |
Überwachung der Datenerfassungsintegrität |
| Ereignisanalyse | Erkunden, Überwachen und Beschleunigen der Windows-Ereignisprotokollanalyse. Enthält alle Ereignisdetails und Attribute, z. B. Sicherheit, Anwendung, System, Setup, Verzeichnisdienst, DNS und mehr. | Windows-Sicherheitsereignisse |
| Identität & Zugriff | Bietet Einblicke in Identitäts- und Zugriffsvorgänge, indem Sicherheitsprotokolle mithilfe der Überwachungs- und Anmeldeprotokolle gesammelt und analysiert werden, um Einblicke in die Verwendung von Microsoft-Produkten zu sammeln. | Windows-Sicherheitsereignisse |
| Übersicht über Incidents | Diese Arbeitsmappe dient der Unterstützung bei der Selektierung und Untersuchungen, indem sie umfassende Informationen über einen Incident bereitstellt. Dazu zählen allgemeine Informationen, Entitätsdaten, Selektierungszeit, Entschärfungszeit sowie Kommentare. Weitere Informationen finden Sie im Artikel zum Toolkit für datengesteuerte SOCs. |
SOC-Handbuch |
| Untersuchungserkenntnisse | Mit dieser Arbeitsmappe gewinnen Analysten Erkenntnisse über Incident-, Textmarken- und Entitätsdaten. Allgemeine Abfragen und ausführliche Visualisierungen können Analysten bei der Untersuchung verdächtiger Aktivitäten unterstützen. | SOC-Handbuch |
| Microsoft Defender für Cloud Apps - Ermittlungsprotokolle | Diese Arbeitsmappe stellt ausführliche Informationen zu den Cloud-Apps bereit, die in Ihrer Organisation verwendet werden. Mit ihr gewinnen Sie zudem Erkenntnisse über Nutzungstrends und erhalten Detailinformationen zu bestimmten Benutzern und Anwendungen. Weitere Informationen finden Sie unter Microsoft Defender für Cloud Apps Connector für Microsoft Sentinel. |
Microsoft Defender for Cloud Apps |
| Microsoft Entra-Überwachungsprotokolle | Verwendet die Überwachungsprotokolle, um Einblicke in Microsoft Entra-ID-Szenarien zu sammeln. Erfahren Sie mehr über Benutzervorgänge, einschließlich Kennwort- und Gruppenverwaltung, Geräteaktivitäten und die wichtigsten aktiven Benutzer und Apps. Weitere Informationen finden Sie unter Schnellstart: Erste Schritte mit Microsoft Sentinel. |
Microsoft Entra ID |
| Microsoft Entra-Anmeldeprotokolle | Bietet Einblicke in Anmeldevorgänge, z. B. Benutzeranmeldungen und Speicherorte, E-Mail-Adressen und IP-Adressen Ihrer Benutzer, fehlgeschlagene Aktivitäten und die Fehler, die die Fehler ausgelöst haben. | Microsoft Entra ID |
| MITRE ATT&CK-Arbeitsmappe | Diese Arbeitsmappe stellt Details zur MITRE ATT&CK-Abdeckung für Microsoft Sentinel bereit. | SOC-Handbuch |
| Office 365 | Mit dieser Arbeitsmappe gewinnen Sie Erkenntnisse über Office 365, indem alle Vorgänge und Aktivitäten nachverfolgt und analysiert werden. Zeigen Sie Detailinformationen zu SharePoint-, OneDrive-, Teams- und Exchange-Daten an. | Microsoft 365 |
| Sicherheitswarnungen | Diese Arbeitsmappe stellt ein Dashboard für Sicherheitswarnungen in Ihrer Microsoft Sentinel-Umgebung bereit. Weitere Informationen finden Sie unter Automatisches Erstellen von Incidents aus Microsoft-Sicherheitswarnungen. |
SOC-Handbuch |
| Effizienz von Sicherheitsvorgängen | Diese Arbeitsmappe ist für SOC-Manager (Security Operations Center) vorgesehen, die damit allgemeine Effizienzmetriken und Measures zur Leistung des Teams anzeigen können. Weitere Informationen finden Sie unter Bessere Verwaltung des SOC mit Incidentmetriken. |
SOC-Handbuch |
| Threat Intelligence | Bietet Einblicke in die Erfassung von Bedrohungsindikatoren. Suchen Sie nach Indikatoren, die über Microsoft 1. Drittanbieter, lokale, Hybrid- und Multicloud-Workloads hinweg skaliert werden. Weitere Informationen finden Sie unter Grundlegendes zu Threat Intelligence in Microsoft Sentinel und in unserem TechCommunity-Blog. |
Threat Intelligence |
| Arbeitsbereichsnutzungsbericht | Bietet Einblicke in die Nutzung Ihres Arbeitsbereichs. Zeigen Sie die Datennutzung, Latenz, empfohlene Aufgaben und Kosten- und Nutzungsstatistiken Ihres Arbeitsbereichs an. | Arbeitsbereichsnutzungsbericht |
| Zero Trust (TIC 3.0) | Stellt eine automatisierte Visualisierung von Zero Trust-Prinzipien bereit, die im Zusammenhang mit dem Framework für vertrauenswürdige Internetverbindungen erläutert werden. Weitere Informationen finden Sie im Blogbeitrag mit der Ankündigung der Zero Trust TIC 3.0-Arbeitsmappe. |
Zero Trust (TIC 3.0) |