常用的 Microsoft Sentinel 工作簿

下表列出了最常用的内置 Microsoft Sentinel 工作簿。

在左侧的“威胁管理”>“工作簿”下访问 Microsoft Sentinel 中的工作簿,然后搜索要使用的工作簿 。 有关详细信息,请参阅可视化和监视数据

提示

我们建议部署与你所引入的数据关联的任何工作簿。 使用工作簿可基于收集的数据进行更广泛的监视和调查。

有关详细信息,请参阅连接数据源以及集中发现和部署 Microsoft Sentinel 中现成可用的内容和解决方案

工作簿名称 描述
分析效率 提供对分析规则效力的见解,帮助实现更好的 SOC 性能。

有关详细信息,请参阅用于数据驱动的 SOC 的工具包
Azure 活动 通过分析和关联所有用户操作和事件提供对组织的 Azure 活动的深入见解。

有关详细信息,请参阅通过 Azure 活动日志进行审核
Microsoft Entra 审核日志 使用 Microsoft Entra 审核日志提供对 Microsoft Entra 方案的见解。

有关详细信息,请参阅快速入门:开始使用 Microsoft Sentinel
Microsoft Entra 审核、活动和登录日志 通过一个工作簿,提供对 Microsoft Entra 审核、活动和登录数据的见解。 按位置、设备、失败原因、用户操作等显示活动(例如,登录)。

此工作簿可供安全管理员和 Azure 管理员使用。
Microsoft Entra 登录日志 使用 Microsoft Entra 登录日志提供对 Microsoft Entra 方案的见解。
Microsoft 云安全基准 提供用于收集和管理数据的单一虚拟管理平台,以满足 Microsoft 云安全基准控制要求,聚合来自 25 多个 Microsoft 安全产品的数据。

有关详细信息,请参阅技术社区博客
数据收集运行状况监视 / 使用情况监视 提供对工作区数据引入状态的见解,例如引入大小、延迟和每个源的日志数。 查看监视器并检测异常,以帮助你确定工作区数据收集运行状况。

有关详细信息,请参阅通过此 Microsoft Sentinel 工作簿监视数据连接器的运行状况
事件分析器 借助事件分析器工作簿,可以浏览和审核 Windows 事件日志,并加快对 Windows 事件日志的分析,其中包括所有事件详细信息和属性(如安全性、应用程序、系统、安装程序、目录服务、DNS 等)。
Exchange Online 通过跟踪和分析所有 Exchange 操作和用户活动,深入了解 Microsoft Exchange online。
标识和访问 通过包含审核和登录日志的安全日志,提供对 Microsoft 产品使用中的标识和访问操作的见解。
事件概述 旨在通过提供有关事件的详细信息(包括常规信息、实体数据、会审时间、缓解时间和注释)来帮助进行会审和调查。

有关详细信息,请参阅用于数据驱动的 SOC 的工具包
调查见解 为分析师提供对事件、书签和实体数据的见解。 常见查询和详细可视化效果可帮助分析师调查可疑活动。
MITRE ATT&CK 工作簿 提供有关 Microsoft Sentinel 的 MITRE ATT&CK 覆盖范围的详细信息。
Office 365 通过跟踪和分析所有操作和活动,提供对 Office 365 的见解。 深化 SharePoint、OneDrive 和 Exchange 数据。
安全警报 提供用于 Microsoft Sentinel 环境中的警报的安全警报仪表板。
安全操作效率 旨在用于安全运营中心 (SOC) 管理器查看有关其团队性能的总体效率指标和度量值。

有关详细信息,请参阅通过事件指标更好地管理 SOC