常用的 Microsoft Sentinel 工作簿

本文列出了最常用的 Microsoft Sentinel 工作簿。 从 Microsoft Sentinel 的“内容中心”安装包含工作簿的解决方案或独立项。 通过在解决方案或独立项上选择“管理”,从“内容中心”获取工作簿。 或者,在 Microsoft Sentinel 中的“威胁管理”下,转到“工作簿”并搜索要使用的工作簿。 有关详细信息,请参阅可视化和监视数据

建议你部署与引入到 Microsoft Sentinel 中的数据关联的任何工作簿。 使用工作簿可基于收集的数据进行更广泛的监视和调查。 有关详细信息,请参阅 Microsoft Sentinel 数据连接器发现和管理 Microsoft Sentinel 现成内容

常用工作簿

下表包括了我们建议的工作簿以及“内容中心”内包含工作簿的解决方案或独立项。

工作簿名称 说明 内容中心标题
Analytics 运行状况和审核 提供分析规则的运行状况和审核信息。 了解分析规则是否按预期运行,并获取对分析规则所做更改的列表。

有关详细信息,请参阅监视分析规则的运行状况并审核其完整性
Analytics 运行状况和审核
Azure 活动 通过分析和关联所有用户操作和事件提供对组织的 Azure 活动的深入见解。

有关详细信息,请参阅通过 Azure 活动日志进行审核
Azure 活动
Azure 安全基准 提供云工作负载的安全状况信息。 查看日志查询、Azure Resource Graph 以及与 Microsoft 安全产品/服务、Azure、Microsoft 365、第三方工作负载、本地工作负载和多云工作负载中的 Azure 安全基准控制一致的策略。

有关详细信息,请参阅技术社区博客
Azure 安全基准
数据收集运行状况监视 提供对工作区数据引入状态的见解,例如引入大小、延迟和每个源的日志数。 监视并检测异常,以帮助你确定工作区数据收集运行状况。

有关详细信息,请参阅通过此 Microsoft Sentinel 工作簿监视数据连接器的运行状况
数据收集运行状况监视
事件分析器 浏览、审核和加快 Windows 事件日志分析。 包括所有事件详细信息和属性,例如安全性、应用程序、系统、设置、目录服务、DNS,等等。 Windows 安全事件
标识和访问 通过收集并分析安全日志,使用审核和登录日志收集对 Microsoft 产品使用情况的见解,提供对身份验证和访问控制操作的见解。 Windows 安全事件
事件概述 旨在通过提供有关事件的详细信息(包括常规信息、实体数据、会审时间、缓解时间和注释)来帮助进行会审和调查。

有关详细信息,请参阅用于数据驱动的 SOC 的工具包
SOC 手册
调查见解 为分析师提供对事件、书签和实体数据的见解。 常见查询和详细可视化效果可帮助分析师调查可疑活动。 SOC 手册
Microsoft Entra 审核日志 使用审核日志收集有关 Microsoft Entra ID 场景的见解。 了解用户操作,包括密码和组管理、设备活动以及最活跃的用户和应用。 Microsoft Entra ID
Microsoft Entra 登录日志 提供对登录操作的见解,例如用户登录和你的用户的位置、电子邮件地址和 IP 地址,失败的活动以及引发失败的错误。 Microsoft Entra ID
MITRE ATT&CK 工作簿 提供有关 Microsoft Sentinel 的 MITRE ATT&CK 覆盖范围的详细信息。 SOC 手册
Office 365 通过跟踪和分析所有操作和活动,提供对 Office 365 的见解。 向下钻取到 SharePoint、OneDrive、Teams 和 Exchange 数据。 Microsoft 365
安全警报 提供用于 Microsoft Sentinel 环境中的警报的安全警报仪表板。

有关详细信息,请参阅从 Microsoft 安全警报自动创建事件
SOC 手册
安全操作效率 旨在用于安全运营中心 (SOC) 管理器查看有关其团队性能的总体效率指标和度量值。

有关详细信息,请参阅通过事件指标更好地管理 SOC
SOC 手册
工作区使用情况报告 提供对工作区使用情况的见解。 查看工作区的数据消耗、延迟、建议的任务以及成本和使用情况统计信息。 工作区使用情况报告
零信任 (TIC3.0) 提供对交叉遍历到受信任 Internet 连接框架的零信任原则的自动可视化。

有关详细信息,请参阅零信任 (TIC 3.0) 工作簿公告博客
零信任(TIC 3.0)