Veelgebruikte Microsoft Sentinel-werkmappen
Dit artikel bevat de meest gebruikte Microsoft Sentinel-werkmappen. Installeer de oplossing of het zelfstandige item dat de werkmap bevat van de Inhoudshub in Microsoft Sentinel. Haal de werkmap op uit de Inhoudshub door Beheren te selecteren in de oplossing of het zelfstandige item. Of ga in Microsoft Sentinel onder Bedreigingsbeheer naar Werkmappen en zoek naar de werkmap die u wilt gebruiken. Zie Uw gegevens visualiseren en bewaken voor meer informatie.
U wordt aangeraden werkmappen te implementeren die zijn gekoppeld aan de gegevens die u opneemt in Microsoft Sentinel. Werkmappen bieden uitgebreidere bewaking en onderzoek op basis van uw verzamelde gegevens. Zie Microsoft Sentinel-gegevensconnectors en Ontdek en beheer Microsoft Sentinel out-of-the-box-inhoud voor meer informatie.
Veelgebruikte werkmappen
De volgende tabel bevat werkmappen die we aanbevelen en de oplossing of het zelfstandige item van de Inhoudshub die de werkmap bevat.
| Werkmapnaam | Beschrijving | Titel van inhoudshub |
|---|---|---|
| Status en controle van analyse | Biedt inzicht in de status en controle van uw analyseregels. Ontdek of een analyseregel wordt uitgevoerd zoals verwacht en bekijk een lijst met wijzigingen die zijn aangebracht in een analyseregel. Zie De status controleren en de integriteit van uw analyseregels controleren voor meer informatie. |
Status en controle van analyse |
| Azure-activiteit | Biedt uitgebreid inzicht in de Azure-activiteit van uw organisatie door alle gebruikersbewerkingen en gebeurtenissen te analyseren en correleren. Zie Controle met Azure-activiteitenlogboeken voor meer informatie. |
Azure-activiteit |
| Azure Security-benchmark | Biedt inzicht in de beveiligingspostuur van cloudworkloads. Bekijk logboekquery's, Azure-resourcegrafiek en -beleidsregels die zijn afgestemd op Azure Security Benchmark-besturingselementen in Microsoft-beveiligingsaanbiedingen, Azure, Microsoft 365, on-premises en workloads met meerdere clouds. Zie onze TechCommunity-blog voor meer informatie. |
Azure Security-benchmark |
| Certificering van cyberbeveiligingsrijpmodel (CMMC) | Biedt een manier om logboekquery's weer te geven die zijn afgestemd op CMMC-besturingselementen in het Microsoft-portfolio, waaronder Microsoft-beveiligingsaanbiedingen, Microsoft 365, Microsoft Teams, Intune, Azure Virtual Desktop en meer. Zie onze TechCommunity-blog voor meer informatie. |
CmMC (Cybersecurity Maturity Model Certification) 2.0 |
| Statuscontrole van gegevensverzameling | Biedt inzicht in de gegevensopnamestatus van uw werkruimte, zoals de opnamegrootte, latentie en het aantal logboeken per bron. Controleert en detecteert afwijkingen om u te helpen bij het bepalen van de status van de gegevensverzameling van uw werkruimten. Zie De status van uw gegevensconnectors bewaken met deze Microsoft Sentinel-werkmap voor meer informatie. |
Statuscontrole van gegevensverzameling |
| Event Analyzer | Analyse van Windows-gebeurtenislogboeken verkennen, controleren en versnellen. Bevat alle details en kenmerken van gebeurtenissen, zoals beveiliging, toepassing, systeem, installatie, adreslijstservice, DNS en meer. | gebeurtenissen Windows-beveiliging |
| Identiteit en toegang | Biedt inzicht in identiteits- en toegangsbewerkingen door beveiligingslogboeken te verzamelen en te analyseren, met behulp van de audit- en aanmeldingslogboeken om inzicht te krijgen in het gebruik van Microsoft-producten. | gebeurtenissen Windows-beveiliging |
| Overzicht van incidenten | Ontworpen om u te helpen bij het sorteren en onderzoeken door uitgebreide informatie over een incident te verstrekken, waaronder algemene informatie, entiteitsgegevens, sorteertijd, beperkingstijd en opmerkingen. Zie De toolkit voor gegevensgestuurde SOC's voor meer informatie. |
SOC Handboek |
| Onderzoeksinzichten | Biedt analisten inzicht in incident-, bladwijzer- en entiteitsgegevens. Veelvoorkomende query's en gedetailleerde visualisaties kunnen analisten helpen bij het onderzoeken van verdachte activiteiten. | SOC Handboek |
| Microsoft Defender voor Cloud-apps - detectielogboeken | Biedt details over de cloud-apps die in uw organisatie worden gebruikt en inzichten uit gebruikstrends en inzoomgegevens voor specifieke gebruikers en toepassingen. Zie Microsoft Defender voor Cloud Apps-connector voor Microsoft Sentinel voor meer informatie. |
Microsoft Defender for Cloud Apps |
| Microsoft Entra-auditlogboeken | Maakt gebruik van de auditlogboeken om inzichten te verzamelen over Microsoft Entra ID-scenario's. Meer informatie over gebruikersbewerkingen, waaronder wachtwoord- en groepsbeheer, apparaatactiviteiten en de belangrijkste actieve gebruikers en apps. Zie quickstart: Aan de slag met Microsoft Sentinel voor meer informatie. |
Microsoft Entra ID |
| Aanmeldingslogboeken van Microsoft Entra | Biedt inzicht in aanmeldingsbewerkingen, zoals aanmeldingen en locaties van gebruikers, e-mailadressen en IP-adressen van uw gebruikers, mislukte activiteiten en de fouten die de fouten hebben veroorzaakt. | Microsoft Entra ID |
| MITRE ATT&CK-werkmap | Biedt informatie over MITRE ATT&CK-dekking voor Microsoft Sentinel. | SOC Handboek |
| Office 365 | Biedt inzicht in Office 365 door alle bewerkingen en activiteiten te traceren en te analyseren. Inzoomen op SharePoint-, OneDrive-, Teams- en Exchange-gegevens. | Microsoft 365 |
| Beveiligingswaarschuwingen | Biedt een dashboard met beveiligingswaarschuwingen voor waarschuwingen in uw Microsoft Sentinel-omgeving. Zie Automatisch incidenten maken op basis van Beveiligingswaarschuwingen van Microsoft voor meer informatie. |
SOC Handboek |
| Efficiƫntie van beveiligingsbewerkingen | Bedoeld voor SOC-managers (Security Operations Center) om algemene metrische gegevens en metingen voor de prestaties van hun team te bekijken. Zie Uw SOC beter beheren met metrische gegevens voor incidenten voor meer informatie. |
SOC Handboek |
| Bedreigingsinformatie | Biedt inzicht in opname van bedreigingsindicatoren. Zoek naar indicatoren op schaal voor workloads van Microsoft 1e partij, derden, on-premises, hybride en multicloudworkloads. Zie Informatie over bedreigingsinformatie in Microsoft Sentinel en onze TechCommunity-blog voor meer informatie. |
Bedreigingsinformatie |
| Werkruimtegebruiksrapport | Biedt inzicht in het gebruik van uw werkruimte. Bekijk het gegevensverbruik, de latentie, de aanbevolen taken en de statistieken over kosten en gebruik van uw werkruimte. | Werkruimtegebruiksrapport |
| Zero Trust (TIC3.0) | Biedt een geautomatiseerde visualisatie van Zero Trust-principes, die kruislings worden doorlopen naar het framework voor vertrouwde internetverbinding. Zie het blog over de aankondiging van de werkmap Zero Trust (TIC 3.0) voor meer informatie. |
Zero Trust (TIC 3.0) |