Często używane skoroszyty usługi Microsoft Sentinel
W tym artykule wymieniono najczęściej używane skoroszyty usługi Microsoft Sentinel. Zainstaluj rozwiązanie lub autonomiczny element zawierający skoroszyt z centrum zawartości w usłudze Microsoft Sentinel. Pobierz skoroszyt z centrum zawartości, wybierając pozycję Zarządzaj w rozwiązaniu lub autonomicznym elemencie. Możesz też w usłudze Microsoft Sentinel w obszarze Zarządzanie zagrożeniami przejść do pozycji Skoroszyty i wyszukać skoroszyt, którego chcesz użyć. Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych.
Zalecamy wdrożenie wszystkich skoroszytów skojarzonych z danymi pozyskanymi w usłudze Microsoft Sentinel. Skoroszyty umożliwiają szersze monitorowanie i badanie na podstawie zebranych danych. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel data connectors (Łączniki danych usługi Microsoft Sentinel) i Discover and manage Microsoft Sentinel out-of-the-box content (Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią).
Często używane skoroszyty
Poniższa tabela zawiera zalecane skoroszyty oraz rozwiązanie lub autonomiczny element z centrum zawartości zawierającego skoroszyt.
| Nazwa skoroszytu | opis | Tytuł centrum zawartości |
|---|---|---|
| Kondycja analizy i inspekcja | Zapewnia wgląd w kondycję i inspekcję reguł analizy. Dowiedz się, czy reguła analizy działa zgodnie z oczekiwaniami i uzyskaj listę zmian wprowadzonych w regule analitycznej. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji i inspekcja integralności reguł analizy. |
Kondycja analizy i inspekcja |
| Działanie platformy Azure | Zapewnia obszerny wgląd w aktywność organizacji na platformie Azure, analizując i korelując wszystkie operacje i zdarzenia użytkownika. Aby uzyskać więcej informacji, zobacz Inspekcja za pomocą dzienników aktywności platformy Azure. |
Działanie platformy Azure |
| Test porównawczy zabezpieczeń platformy Azure | Zapewnia widoczność stanu zabezpieczeń obciążeń w chmurze. Wyświetlanie zapytań dzienników, wykresu zasobów platformy Azure i zasad dostosowanych do mechanizmów kontroli testu porównawczego zabezpieczeń platformy Azure w ramach ofert zabezpieczeń firmy Microsoft, platformy Azure, platformy Microsoft 365, innych firm, obciążeń lokalnych i wielochmurowych. Aby uzyskać więcej informacji, zobacz nasz blog TechCommunity. |
Test porównawczy zabezpieczeń platformy Azure |
| Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC) | Zapewnia sposób wyświetlania zapytań dzienników dostosowanych do mechanizmów kontroli CMMC w portfolio firmy Microsoft, w tym ofert zabezpieczeń firmy Microsoft, platformy Microsoft 365, usługi Microsoft Teams, usługi Intune, usługi Azure Virtual Desktop i innych. Aby uzyskać więcej informacji, zobacz nasz blog TechCommunity. |
Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC) 2.0 |
| Monitorowanie kondycji zbierania danych | Zapewnia wgląd w stan pozyskiwania danych obszaru roboczego, taki jak rozmiar pozyskiwania, opóźnienie i liczba dzienników na źródło. Monitoruje i wykrywa anomalie, aby ułatwić określenie kondycji zbierania danych obszarów roboczych. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji łączników danych za pomocą tego skoroszytu usługi Microsoft Sentinel. |
Monitorowanie kondycji zbierania danych |
| Analizator zdarzeń | Eksplorowanie, przeprowadzanie inspekcji i przyspieszanie analizy dziennika zdarzeń systemu Windows. Zawiera wszystkie szczegóły zdarzenia i atrybuty, takie jak zabezpieczenia, aplikacja, system, konfiguracja, usługa katalogowa, dns i inne. | zdarzenia Zabezpieczenia Windows |
| Tożsamość i dostęp | Zapewnia wgląd w operacje tożsamości i dostępu przez zbieranie i analizowanie dzienników zabezpieczeń przy użyciu dzienników inspekcji i logowania w celu zbierania szczegółowych informacji na temat korzystania z produktów firmy Microsoft. | zdarzenia Zabezpieczenia Windows |
| Omówienie zdarzeń | Zaprojektowana tak, aby ułatwić klasyfikację i badanie, udostępniając szczegółowe informacje o zdarzeniu, w tym ogólne informacje, dane jednostki, czas klasyfikacji, czas ograniczenia ryzyka i komentarze. Aby uzyskać więcej informacji, zobacz Zestaw narzędzi do obsługi soc opartych na danych. |
Podręcznik SOC |
| Szczegółowe informacje dotyczące badania | Udostępnia analitykom wgląd w dane dotyczące zdarzeń, zakładek i jednostek. Typowe zapytania i szczegółowe wizualizacje mogą pomóc analitykom badać podejrzane działania. | Podręcznik SOC |
| Microsoft Defender dla Chmury Apps — dzienniki odnajdywania | Zawiera szczegółowe informacje o aplikacjach w chmurze, które są używane w organizacji, oraz szczegółowe informacje na temat trendów użycia i danych przechodzenia do szczegółów dla określonych użytkowników i aplikacji. Aby uzyskać więcej informacji, zobacz łącznik Microsoft Defender dla Chmury Apps dla usługi Microsoft Sentinel. |
Microsoft Defender for Cloud Apps |
| Dzienniki inspekcji firmy Microsoft Entra | Używa dzienników inspekcji do zbierania szczegółowych informacji dotyczących scenariuszy identyfikatora Entra firmy Microsoft. Dowiedz się więcej o operacjach użytkowników, w tym zarządzaniu hasłami i grupami, działaniach urządzeń i najważniejszych aktywnych użytkownikach i aplikacjach. Aby uzyskać więcej informacji, zobacz Szybki start: wprowadzenie do usługi Microsoft Sentinel. |
Microsoft Entra ID |
| Dzienniki logowania w usłudze Microsoft Entra | Udostępnia szczegółowe informacje na temat operacji logowania, takich jak logowania użytkowników i lokalizacje, adresy e-mail i adresy IP użytkowników, działania, które zakończyły się niepowodzeniem, oraz błędy, które wyzwoliły błędy. | Microsoft Entra ID |
| SKOROSZYT MITRE ATT&CK | Zawiera szczegółowe informacje na temat pokrycia MITRE ATT&CK dla usługi Microsoft Sentinel. | Podręcznik SOC |
| Office 365 | Zapewnia wgląd w usługę Office 365 przez śledzenie i analizowanie wszystkich operacji i działań. Przejdź do szczegółów danych programów SharePoint, OneDrive, Teams i Exchange. | Microsoft 365 |
| Alerty zabezpieczeń | Udostępnia pulpit nawigacyjny Alerty zabezpieczeń dla alertów w środowisku usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Automatyczne tworzenie zdarzeń na podstawie alertów zabezpieczeń firmy Microsoft. |
Podręcznik SOC |
| Wydajność operacji zabezpieczeń | Przeznaczone dla menedżerów centrum operacji zabezpieczeń (SOC) do wyświetlania ogólnych metryk wydajności i miar dotyczących wydajności ich zespołu. Aby uzyskać więcej informacji, zobacz Zarządzanie soc lepiej za pomocą metryk zdarzeń. |
Podręcznik SOC |
| Analiza zagrożeń | Zapewnia wgląd w pozyskiwanie wskaźników zagrożeń. Wyszukaj wskaźniki na dużą skalę w ramach obciążeń firmy Microsoft 1, innych firm, lokalnych, hybrydowych i wielochmurowych. Aby uzyskać więcej informacji, zobacz Omówienie analizy zagrożeń w usłudze Microsoft Sentinel i naszym blogu TechCommunity. |
Analiza zagrożeń |
| Raport użycia obszaru roboczego | Zapewnia wgląd w użycie obszaru roboczego. Wyświetlanie użycia danych, opóźnienia, zalecanych zadań oraz statystyk dotyczących kosztów i użycia obszaru roboczego. | Raport użycia obszaru roboczego |
| Zero Trust (TIC3.0) | Zapewnia zautomatyzowaną wizualizację zasad zero trust, między przewodnikami do platformy Zaufane połączenia internetowe. Aby uzyskać więcej informacji, zobacz blog anonsu skoroszytu Zero Trust (TIC 3.0). |
Zero Trust (TIC 3.0) |