Часто используемые книги Microsoft Sentinel
В этой статье перечислены наиболее часто используемые книги Microsoft Sentinel. Установите решение или автономный элемент, содержащий книгу из центра содержимого в Microsoft Sentinel. Получите книгу из концентратора контента, выбрав "Управление " в решении или автономном элементе. Или в Microsoft Sentinel в разделе "Управление угрозами" перейдите к книгам и найдите книгу, которую вы хотите использовать. Дополнительные сведения см. в статье о визуализации и мониторинге данных.
Мы рекомендуем развернуть все книги, связанные с данными, которые вы используете в Microsoft Sentinel. Книги расширяют возможности для мониторинга и анализа собранных данных. Дополнительные сведения см. в разделе Соединители данных Microsoft Sentinel и обнаружение и управление содержимым Microsoft Sentinel вне поля.
Часто используемые книги
В следующей таблице перечислены книги, которые мы рекомендуем, и решение или автономный элемент из концентратора контента, содержащего книгу.
| Имя книги | Description | Заголовок концентратора содержимого |
|---|---|---|
| Аналитика работоспособности и аудита | Обеспечивает видимость работоспособности и аудита правил аналитики. Узнайте, выполняется ли правило аналитики как ожидалось, и получите список изменений, внесенных в правило аналитики. Дополнительные сведения см. в разделе "Мониторинг работоспособности и аудит целостности правил аналитики". |
Аналитика работоспособности и аудита |
| Действия Azure | Предоставляет подробные сведения об активности вашей организации в Azure путем анализа и сопоставления всех пользовательских операций и событий. Дополнительные сведения см. в разделе Аудит с помощью журналов действий Azure. |
Действие Azure |
| Тесты производительности системы безопасности Azure | Обеспечивает видимость состояния безопасности облачных рабочих нагрузок. Просмотр запросов журналов, графа ресурсов Azure и политик, согласованных с элементами управления Azure Security Benchmark в предложениях безопасности Майкрософт, Azure, Microsoft 365, сторонних, локальных и многооблачных рабочих нагрузок. Дополнительные сведения см. в блоге технического сообщества. |
Тестирование безопасности Azure |
| Cybersecurity Maturity Model Certification (CMMC) | Предоставляет способ просмотра запросов журналов, согласованных с элементами управления CMMC в портфеле Майкрософт, включая предложения безопасности Майкрософт, Microsoft 365, Microsoft Teams, Intune, Виртуальный рабочий стол Azure и многое другое. Дополнительные сведения см. в блоге технического сообщества. |
Сертификация модели зрелости кибербезопасности (CMMC) 2.0 |
| Мониторинг состояния работоспособности для сбора данных | Предоставляет аналитические сведения о состоянии приема данных в рабочей области, такие как объем принимаемых данных, задержка и количество журналов на источник. Отслеживает и обнаруживает аномалии, помогающие определить работоспособность сбора данных рабочих областей. Дополнительные сведения см. в статье Мониторинг работоспособности соединителей данных. |
Мониторинг состояния работоспособности для сбора данных |
| Анализатор событий | Изучение, аудит и ускорение анализа журнала событий Windows. Включает все сведения о событиях и атрибуты, такие как безопасность, приложение, система, настройка, служба каталогов, DNS и многое другое. | События безопасности Windows |
| Идентификация и доступ | Предоставляет аналитические сведения об операциях идентификации и доступа, собирая и анализируя журналы безопасности, используя журналы аудита и входа для сбора аналитических сведений об использовании продуктов Майкрософт. | События безопасности Windows |
| Обзор инцидентов | Помогает в рассмотрении и исследовании, предоставляя подробные сведения об инциденте, включая общие сведения, данные сущности, время рассмотрения, время устранения и комментарии. Дополнительные сведения см. в разделе Набор средств для SOC, управляемых данными. |
Справочник ПО SOC |
| Аналитические сведения для исследования | Предоставляет аналитикам аналитические сведения об инцидентах, закладках и данных сущностей. Общие запросы и подробные визуализации могут помочь аналитикам исследовать подозрительные действия. | Справочник ПО SOC |
| Microsoft Defender для облачных приложений — журналы обнаружения | Предоставляет сведения об облачных приложениях, используемых в организации, а также о тенденциях использования и детализации данных для конкретных пользователей и приложений. Дополнительные сведения см. в разделе Microsoft Defender для облака Соединитель приложений для Microsoft Sentinel. |
Microsoft Defender для облачных приложений |
| Журналы аудита Microsoft Entra | Использует журналы аудита для сбора аналитических сведений о сценариях идентификатора Microsoft Entra ID. Сведения об операциях пользователей, включая управление паролями и группами, действия устройств и основные активные пользователи и приложения. Дополнительные сведения см. в документации по началу работы с Microsoft Sentinel. |
Microsoft Entra ID |
| Журналы входа в Microsoft Entra | Предоставляет аналитические сведения для операций входа, таких как вход пользователей и расположения, адреса электронной почты и IP-адреса пользователей, неудачные действия и ошибки, которые вызвали сбои. | Microsoft Entra ID |
| Книга MITRE ATT&CK | Содержит сведения о охвате MITRE ATT&CK для Microsoft Sentinel. | Справочник ПО SOC |
| Office 365 | Предоставляет аналитические сведения об Office 365 путем трассировки и анализа всех операций и действий. Детализирует данные SharePoint, OneDrive, Teams и Exchange. | Microsoft 365 |
| оповещения безопасности | Предоставляет панель мониторинга оповещений системы безопасности в вашей среде Microsoft Sentinel. Дополнительные сведения о правилах безопасности см. в разделе Автоматическое создание инцидентов на основе оповещений системы безопасности Майкрософт. |
Справочник ПО SOC |
| Эффективность операций безопасности | Позволяет менеджерам центра информационной безопасности (SOC) просматривать общие метрики эффективности и показатели производительности их команд. Дополнительные сведения см. в статье Более эффективное управление SOC с помощью метрик инцидента. |
Справочник ПО SOC |
| Аналитика угроз | Предоставляет аналитические сведения о приеме индикаторов угроз. Поиск индикаторов в большом масштабе между сторонними, 3-й стороной, локальными, гибридными и многооблачными рабочими нагрузками. Дополнительные сведения см. в статье Знакомство с аналитикой угроз в Microsoft Sentinel и в нашем блоге технического сообщества. |
Аналитика угроз |
| Отчет об использовании рабочей области | Предоставляет аналитические сведения об использовании рабочей области. Просмотр потребления данных, задержки, рекомендуемых задач и статистики использования рабочей области. | Отчет об использовании рабочей области |
| "Никому не доверяй" (TIC3.0) | Предоставляет автоматическую визуализацию принципов "Никому не доверяй" на основе платформы доверенных подключений к Интернету. Дополнительные сведения см. в блоге объявлений о книге "Никому не доверяй" (TIC 3.0). |
Нулевое доверие (TIC 3.0) |