Classeurs Microsoft Sentinel couramment utilisés
Cet article répertorie les classeurs Microsoft Sentinel les plus couramment utilisés. Installez la solution ou l’élément autonome qui contient le classeur à partir du hub de contenu dans Microsoft Sentinel. Obtenez le classeur à partir du hub de contenu en sélectionnant Gérer sur la solution ou l’élément autonome. Dans Microsoft Sentinel sous Gestion des menaces, accédez aux classeurs et recherchez le classeur que vous souhaitez utiliser. Pour plus d’informations, consultez Visualiser et superviser vos données.
Nous vous recommandons de déployer tous les classeurs associés aux données que vous ingère dans Microsoft Sentinel. Les workbooks permettent d’obtenir une supervision et des investigations plus poussées en fonction des données collectées. Pour plus d’informations, consultez connecteurs de données Microsoft Sentinel et Découvrir et gérer le contenu prête à l’emploi de Microsoft Sentinel.
Classeurs couramment utilisés
Le tableau suivant inclut les classeurs que nous recommandons et l’élément solution ou autonome à partir du hub de contenu qui contient le classeur.
| Nom du classeur | Description | Titre du hub de contenu |
|---|---|---|
| Analyse de l’intégrité et de l’audit | Fournit une visibilité sur l’intégrité et l’audit de vos règles d’analyse. Déterminez si une règle d’analyse s’exécute comme prévu et obtenez la liste des modifications apportées à une règle analytique. Pour plus d’informations, consultez Surveiller l’intégrité et auditer l’intégrité de vos règles d’analyse. |
Analyse de l’intégrité et de l’audit |
| Activité Azure | Fournit des insights complets sur l’activité Azure de votre organisation en analysant et en mettant en corrélation tous les événements et opérations utilisateurs. Pour plus d’informations, consultez Audit avec les journaux d’activité Azure. |
Activité Azure |
| Benchmark de sécurité Azure | Fournit une visibilité pour la posture de sécurité des charges de travail cloud. Affichez les requêtes de journal, le graphe de ressources Azure et les stratégies alignés sur les contrôles Azure Security Benchmark dans les offres de sécurité Microsoft, Azure, Microsoft 365, tiers, locaux et multiclouds. Pour plus d’informations, consultez notre blog TechCommunity. |
Benchmark de sécurité Azure |
| CMMC (Cybersecurity Maturity Model Certification) | Fournit un moyen d’afficher les requêtes de journal alignées sur les contrôles CMMC dans le portefeuille Microsoft, notamment les offres de sécurité Microsoft, Microsoft 365, Microsoft Teams, Intune, Azure Virtual Desktop, etc. Pour plus d’informations, consultez notre blog TechCommunity. |
CMMC (Cybersecurity Maturity Model Certification) 2.0 |
| Analyse du fonctionnement de la collecte de données | Fournit des insights sur l’état d’ingestion des données de votre espace de travail, par exemple la taille de l’ingestion, la latence et le nombre de journaux par source. Surveille et détecte les anomalies pour vous aider à déterminer l’intégrité de la collecte de données de vos espaces de travail. Pour plus d’informations, consultez Surveiller l’intégrité de vos connecteurs de données avec ce classeur Microsoft Sentinel. |
Analyse du fonctionnement de la collecte de données |
| Analyseur d’événements | Explorez, auditez et accélérez l’analyse du journal des événements Windows. Inclut tous les détails et attributs de l’événement, tels que la sécurité, l’application, le système, l’installation, le service d’annuaire, LE DNS, etc. | Événements de sécurité Windows |
| Identité et accès | Fournit des informations sur les opérations d’identité et d’accès en collectant et en analysant les journaux de sécurité, à l’aide des journaux d’audit et de connexion pour recueillir des informations sur l’utilisation des produits Microsoft. | Événements de sécurité Windows |
| Vue d’ensemble des incidents | Facilite le triage et l’investigation en fournissant des informations détaillées sur un incident, notamment des informations générales, des données d’entité, le temps de triage, le temps d’atténuation et des commentaires. Pour plus d’informations, consultez Kit de ressources pour les centres SOC pilotés par les données. |
Manuel SOC |
| Insights d’investigation | Fournit aux analystes des insights sur les données relatives aux incidents, aux signets et aux entités. Les requêtes courantes et les visualisations détaillées peuvent les aider à examiner les activités suspectes. | Manuel SOC |
| Microsoft Defender for Cloud Apps : journaux de détection | Fournit des détails sur les applications cloud utilisées dans votre organisation, ainsi que des insights tirés des tendances d’utilisation et des données d’exploration pour des utilisateurs et des applications spécifiques. Pour plus d’informations, consultez Microsoft Defender pour le cloud connecteur Apps pour Microsoft Sentinel. |
Microsoft Defender for Cloud Apps |
| Journaux d’audit Microsoft Entra | Utilise les journaux d’audit pour recueillir des insights sur les scénarios d’ID Microsoft Entra. Découvrez les opérations des utilisateurs, notamment la gestion des mots de passe et des groupes, les activités des appareils et les utilisateurs et applications actifs principaux. Pour plus d’informations, consultez Démarrage rapide : Bien démarrer avec Microsoft Sentinel. |
Microsoft Entra ID |
| Journaux de connexion Microsoft Entra | Fournit des insights sur les opérations de connexion, telles que les connexions utilisateur et les emplacements, les adresses e-mail et les adresses IP de vos utilisateurs, les activités ayant échoué et les erreurs qui ont déclenché les échecs. | Microsoft Entra ID |
| Classeur MITRE ATT&CK | Fournit des détails sur la couverture MITRE ATT&CK pour Microsoft Sentinel. | Manuel SOC |
| Office 365 | Fournit des insights sur Office 365 en traçant et en analysant toutes les opérations et activités. Explorez les données SharePoint, OneDrive, Teams et Exchange. | Microsoft 365 |
| alertes de sécurité | Fournit un tableau de bord des alertes de sécurité de l’environnement Microsoft Sentinel. Pour plus d’informations, consultez Créer automatiquement des incidents à partir d’alertes de sécurité Microsoft. |
Manuel SOC |
| Efficacité des opérations de sécurité | Permet aux responsables de centre des opérations de sécurité (SOC) de voir des métriques et des mesures d’efficacité globales concernant le niveau de performance de leur équipe. Pour plus d’informations, consultez Meilleure gestion du centre SOC avec les métriques relatives aux incidents. |
Manuel SOC |
| Renseignement sur les menaces | Fournit des insights sur l’ingestion des indicateurs de menace. Recherchez des indicateurs à grande échelle entre les charges de travail Microsoft 1ère partie, tierces, locales, hybrides et multiclouds. Pour plus d’informations, consultez Comprendre le renseignement sur les menaces dans Microsoft Sentinel et notre blog TechCommunity. |
Renseignement sur les menaces |
| Rapport d’utilisation de l’espace de travail | Fournit des insights sur l’utilisation de votre espace de travail. Affichez la consommation de données, la latence, les tâches recommandées et les statistiques de coût et d’utilisation de votre espace de travail. | Rapport d’utilisation de l’espace de travail |
| Confiance Zéro (TIC 3.0) | Fournit une visualisation automatisée des principes de Confiance Zéro, transmise à l'infrastructure des connexions Internet de confiance (TIC). Pour plus d’informations, consultez le blog de l'annonce du classeur Confiance Zéro (TIC 3.0). |
Confiance Zéro (TIC 3.0) |