常用的 Microsoft Sentinel 工作簿
本文列出了最常用的 Microsoft Sentinel 工作簿。 从 Microsoft Sentinel 的“内容中心”安装包含工作簿的解决方案或独立项。 通过在解决方案或独立项上选择“管理”,从“内容中心”获取工作簿。 或者,在 Microsoft Sentinel 中的“威胁管理”下,转到“工作簿”并搜索要使用的工作簿。 有关详细信息,请参阅可视化和监视数据。
建议你部署与引入到 Microsoft Sentinel 中的数据关联的任何工作簿。 使用工作簿可基于收集的数据进行更广泛的监视和调查。 有关详细信息,请参阅 Microsoft Sentinel 数据连接器和发现和管理 Microsoft Sentinel 现成内容。
常用工作簿
下表包括了我们建议的工作簿以及“内容中心”内包含工作簿的解决方案或独立项。
工作簿名称 | 说明 | 内容中心标题 |
---|---|---|
Analytics 运行状况和审核 | 提供分析规则的运行状况和审核信息。 了解分析规则是否按预期运行,并获取对分析规则所做更改的列表。 有关详细信息,请参阅监视分析规则的运行状况并审核其完整性。 |
Analytics 运行状况和审核 |
Azure 活动 | 通过分析和关联所有用户操作和事件提供对组织的 Azure 活动的深入见解。 有关详细信息,请参阅通过 Azure 活动日志进行审核。 |
Azure 活动 |
Azure 安全基准 | 提供云工作负载的安全状况信息。 查看日志查询、Azure Resource Graph 以及与 Microsoft 安全产品/服务、Azure、Microsoft 365、第三方工作负载、本地工作负载和多云工作负载中的 Azure 安全基准控制一致的策略。 有关详细信息,请参阅技术社区博客。 |
Azure 安全基准 |
数据收集运行状况监视 | 提供对工作区数据引入状态的见解,例如引入大小、延迟和每个源的日志数。 监视并检测异常,以帮助你确定工作区数据收集运行状况。 有关详细信息,请参阅通过此 Microsoft Sentinel 工作簿监视数据连接器的运行状况。 |
数据收集运行状况监视 |
事件分析器 | 浏览、审核和加快 Windows 事件日志分析。 包括所有事件详细信息和属性,例如安全性、应用程序、系统、设置、目录服务、DNS,等等。 | Windows 安全事件 |
标识和访问 | 通过收集并分析安全日志,使用审核和登录日志收集对 Microsoft 产品使用情况的见解,提供对身份验证和访问控制操作的见解。 | Windows 安全事件 |
事件概述 | 旨在通过提供有关事件的详细信息(包括常规信息、实体数据、会审时间、缓解时间和注释)来帮助进行会审和调查。 有关详细信息,请参阅用于数据驱动的 SOC 的工具包。 |
SOC 手册 |
调查见解 | 为分析师提供对事件、书签和实体数据的见解。 常见查询和详细可视化效果可帮助分析师调查可疑活动。 | SOC 手册 |
Microsoft Entra 审核日志 | 使用审核日志收集有关 Microsoft Entra ID 场景的见解。 了解用户操作,包括密码和组管理、设备活动以及最活跃的用户和应用。 | Microsoft Entra ID |
Microsoft Entra 登录日志 | 提供对登录操作的见解,例如用户登录和你的用户的位置、电子邮件地址和 IP 地址,失败的活动以及引发失败的错误。 | Microsoft Entra ID |
MITRE ATT&CK 工作簿 | 提供有关 Microsoft Sentinel 的 MITRE ATT&CK 覆盖范围的详细信息。 | SOC 手册 |
Office 365 | 通过跟踪和分析所有操作和活动,提供对 Office 365 的见解。 向下钻取到 SharePoint、OneDrive、Teams 和 Exchange 数据。 | Microsoft 365 |
安全警报 | 提供用于 Microsoft Sentinel 环境中的警报的安全警报仪表板。 有关详细信息,请参阅从 Microsoft 安全警报自动创建事件。 |
SOC 手册 |
安全操作效率 | 旨在用于安全运营中心 (SOC) 管理器查看有关其团队性能的总体效率指标和度量值。 有关详细信息,请参阅通过事件指标更好地管理 SOC。 |
SOC 手册 |
工作区使用情况报告 | 提供对工作区使用情况的见解。 查看工作区的数据消耗、延迟、建议的任务以及成本和使用情况统计信息。 | 工作区使用情况报告 |
零信任 (TIC3.0) | 提供对交叉遍历到受信任 Internet 连接框架的零信任原则的自动可视化。 有关详细信息,请参阅零信任 (TIC 3.0) 工作簿公告博客。 |
零信任(TIC 3.0) |