Vanliga Microsoft Sentinel-arbetsböcker
I den här artikeln visas de vanligaste Microsoft Sentinel-arbetsböckerna. Installera lösningen eller det fristående objektet som innehåller arbetsboken från innehållshubben i Microsoft Sentinel. Hämta arbetsboken från innehållshubben genom att välja Hantera på lösningen eller fristående objekt. Eller i Microsoft Sentinel under Hothantering går du till Arbetsböcker och söker efter den arbetsbok som du vill använda. Mer information finns i Visualisera och övervaka dina data.
Vi rekommenderar att du distribuerar alla arbetsböcker som är associerade med de data du matar in i Microsoft Sentinel. Arbetsböcker möjliggör bredare övervakning och undersökning baserat på dina insamlade data. Mer information finns i Microsoft Sentinel-dataanslutningsprogram och Identifiera och hantera innehåll i Microsoft Sentinel.
Vanliga arbetsböcker
Följande tabell innehåller arbetsböcker som vi rekommenderar och lösningen eller det fristående objektet från innehållshubben som innehåller arbetsboken.
| Arbetsboksnamn | beskrivning | Rubrik för innehållshubben |
|---|---|---|
| Analyshälsa och granskning | Ger insyn i hälsotillståndet och granskningen av dina analysregler. Ta reda på om en analysregel körs som förväntat och få en lista över ändringar som gjorts i en analysregel. Mer information finns i Övervaka hälsotillståndet och granska integriteten för dina analysregler. |
Analyshälsa och granskning |
| Azure-aktivitet | Ger omfattande insikter om din organisations Azure-aktivitet genom att analysera och korrelera alla användaråtgärder och händelser. Mer information finns i Granskning med Azure-aktivitetsloggar. |
Azure-aktivitet |
| Benchmark för Azure-säkerhet | Ger synlighet för säkerhetsstatusen för molnarbetsbelastningar. Visa loggfrågor, Azure-resursdiagram och principer som är anpassade till Azure Security Benchmark-kontroller i Microsofts säkerhetserbjudanden, Azure, Microsoft 365, tredje part, lokala arbetsbelastningar och arbetsbelastningar med flera moln. Mer information finns i vår TechCommunity-blogg. |
Benchmark för Azure-säkerhet |
| Certifiering av cybersäkerhetsmognadsmodell (CMMC) | Ger ett sätt att visa loggfrågor som är anpassade till CMMC-kontroller i Microsoft-portföljen, inklusive Microsofts säkerhetserbjudanden, Microsoft 365, Microsoft Teams, Intune, Azure Virtual Desktop med mera. Mer information finns i vår TechCommunity-blogg. |
Certifiering av cybersäkerhetsmognadsmodell (CMMC) 2.0 |
| Hälsoövervakning av datainsamling | Ger insikter om arbetsytans datainmatningsstatus, till exempel inmatningsstorlek, svarstid och antal loggar per källa. Övervakar och identifierar avvikelser som hjälper dig att fastställa datainsamlingshälsa för arbetsytor. Mer information finns i Övervaka hälsotillståndet för dina dataanslutningar med den här Microsoft Sentinel-arbetsboken. |
Hälsoövervakning av datainsamling |
| Händelseanalys | Utforska, granska och påskynda windows-händelselogganalys. Innehåller all händelseinformation och attribut, till exempel säkerhet, program, system, installation, katalogtjänst, DNS med mera. | Windows-säkerhet händelser |
| Identitet och åtkomst | Ger insikt i identitets- och åtkomståtgärder genom att samla in och analysera säkerhetsloggar med hjälp av gransknings- och inloggningsloggarna för att samla in insikter om användningen av Microsoft-produkter. | Windows-säkerhet händelser |
| Incidentöversikt | Utformad för att hjälpa till med sortering och undersökning genom att tillhandahålla detaljerad information om en incident, inklusive allmän information, entitetsdata, triagetid, minskningstid och kommentarer. Mer information finns i Verktygslådan för datadrivna SOC:er. |
SOC-handbok |
| Undersökningsinsikter | Ger analytiker insikt i incident-, bokmärkes- och entitetsdata. Vanliga frågor och detaljerade visualiseringar kan hjälpa analytiker att undersöka misstänkta aktiviteter. | SOC-handbok |
| Microsoft Defender för molnet Apps – identifieringsloggar | Innehåller information om de molnappar som används i din organisation och insikter från användningstrender och data för ökad detaljnivå för specifika användare och program. Mer information finns i Microsoft Defender för molnet Apps Connector för Microsoft Sentinel. |
Microsoft Defender for Cloud Apps |
| Microsoft Entra-granskningsloggar | Använder granskningsloggarna för att samla in insikter om Microsoft Entra ID-scenarier. Lär dig mer om användaråtgärder, inklusive lösenords- och grupphantering, enhetsaktiviteter och de mest aktiva användarna och apparna. Mer information finns i Snabbstart: Kom igång med Microsoft Sentinel. |
Microsoft Entra ID |
| Inloggningsloggar för Microsoft Entra | Ger insikter om inloggningsåtgärder, till exempel användarinloggningar och platser, e-postadresser och IP-adresser för dina användare, misslyckade aktiviteter och de fel som utlöste felen. | Microsoft Entra ID |
| MITRE ATT&CK-arbetsbok | Innehåller information om MITRE ATT&CK-täckning för Microsoft Sentinel. | SOC-handbok |
| Office 365 | Ger insikter om Office 365 genom att spåra och analysera alla åtgärder och aktiviteter. Öka detaljnivån i SharePoint, OneDrive, Teams och Exchange-data. | Microsoft 365 |
| Säkerhetsaviseringar | Tillhandahåller en instrumentpanel för säkerhetsaviseringar för aviseringar i din Microsoft Sentinel-miljö. Mer information finns i Skapa incidenter automatiskt från Microsofts säkerhetsaviseringar. |
SOC-handbok |
| Effektivitet för säkerhetsåtgärder | Avsett för SOC-chefer (Security Operations Center) för att visa övergripande effektivitetsmått och mått för teamets prestanda. Mer information finns i Hantera din SOC bättre med incidentmått. |
SOC-handbok |
| Hotinformation | Ger insikter om inmatning av hotindikatorer. Sök efter indikatorer i stor skala i Microsofts 1:a part, tredje part, lokala arbetsbelastningar, hybrid- och multimolnarbetsbelastningar. Mer information finns i Förstå hotinformation i Microsoft Sentinel och vår TechCommunity-blogg. |
Hotinformation |
| Användningsrapport för arbetsyta | Ger insikter om din arbetsytas användning. Visa arbetsytans dataförbrukning, svarstid, rekommenderade uppgifter samt kostnads- och användningsstatistik. | Användningsrapport för arbetsyta |
| Nolltillit (TIC3.0) | Tillhandahåller en automatiserad visualisering av Nolltillit principer, som går över till ramverket för betrodda Internetanslutningar. Mer information finns i Nolltillit (TIC 3.0) arbetsboksmeddelandeblogg. |
Nolltillit (TIC 3.0) |