Cartelle di lavoro di uso comune di Microsoft Sentinel
Questo articolo elenca le cartelle di lavoro di Microsoft Sentinel più usate. Installare la soluzione o l'elemento autonomo che contiene la cartella di lavoro dall'hub contenuto in Microsoft Sentinel. Ottenere la cartella di lavoro dall'hub contenuto selezionando Gestisci nella soluzione o nell'elemento autonomo. In alternativa, in Microsoft Sentinel in Gestione delle minacce passare a Cartelle di lavoro e cercare la cartella di lavoro che si vuole usare. Per altre informazioni, vedere Visualizzare e monitorare i dati.
È consigliabile distribuire tutte le cartelle di lavoro associate ai dati inseriti in Microsoft Sentinel. Le cartelle di lavoro consentono un monitoraggio più ampio e l'analisi in base ai dati raccolti. Per altre informazioni, vedere Connettori dati di Microsoft Sentinel e Individuare e gestire il contenuto predefinito di Microsoft Sentinel.
Cartelle di lavoro di uso comune
La tabella seguente include cartelle di lavoro consigliate e la soluzione o l'elemento autonomo dall'hub contenuto che contiene la cartella di lavoro.
| Nome cartella di lavoro | Descrizione | Titolo dell'hub del contenuto |
|---|---|---|
| Integrità e controllo dell'analisi | Offre visibilità sull'integrità e sul controllo delle regole di analisi. Scoprire se una regola di analisi è in esecuzione come previsto e ottenere un elenco di modifiche apportate a una regola analitica. Per altre informazioni, vedere Monitorare l'integrità e controllare l'integrità delle regole di analisi. |
Integrità e controllo dell'analisi |
| Attività di Azure | Fornisce informazioni dettagliate sull'attività di Azure dell'organizzazione analizzando e correlando tutte le operazioni e gli eventi degli utenti. Per altre informazioni, vedere Controllo con i log attività di Azure. |
Attività di Azure |
| Azure Security Benchmark | Offre visibilità per il comportamento di sicurezza dei carichi di lavoro cloud. Visualizzare le query di log, il grafico delle risorse di Azure e i criteri allineati ai controlli di Azure Security Benchmark tra le offerte di sicurezza Microsoft, Azure, Microsoft 365, terze parti, locali e carichi di lavoro multicloud. Per altre informazioni, vedere il blog techCommunity. |
Benchmark di sicurezza di Azure |
| Certificazione del modello di maturità della cybersecurity (CMMC) | Offre un modo per visualizzare le query di log allineate ai controlli CMMC nel portfolio Microsoft, tra cui offerte di sicurezza Microsoft, Microsoft 365, Microsoft Teams, Intune, Desktop virtuale Azure e altro ancora. Per altre informazioni, vedere il blog techCommunity. |
Certificazione cmmc (Cybersecurity Maturity Model) 2.0 |
| Monitoraggio dell'integrità della raccolta dati | Fornisce informazioni dettagliate sullo stato di inserimento dati dell'area di lavoro, ad esempio dimensioni di inserimento, latenza e numero di log per origine. Monitora e rileva anomalie per determinare l'integrità della raccolta dei dati delle aree di lavoro. Per altre informazioni, vedere Monitorare l'integrità dei connettori dati con questa cartella di lavoro di Microsoft Sentinel. |
Monitoraggio dell'integrità della raccolta dati |
| Analizzatore eventi | Esplorare, controllare e velocizzare l'analisi del registro eventi di Windows. Include tutti i dettagli e gli attributi dell'evento, ad esempio sicurezza, applicazione, sistema, installazione, servizio directory, DNS e altro ancora. | eventi Sicurezza di Windows |
| Identità e accesso | Fornisce informazioni dettagliate sulle operazioni di identità e accesso raccogliendo e analizzando i log di sicurezza, usando i log di controllo e di accesso per raccogliere informazioni dettagliate sull'uso dei prodotti Microsoft. | eventi Sicurezza di Windows |
| Panoramica degli eventi imprevisti | Progettato per facilitare la valutazione e l'analisi fornendo informazioni approfondite su un evento imprevisto, tra cui informazioni generali, dati delle entità, tempo di valutazione, tempo di mitigazione e commenti. Per altre informazioni, vedere Toolkit for Data-Driven SOCs. |
Manuale SOC |
| Informazioni dettagliate sull'indagine | Fornisce agli analisti informazioni dettagliate su eventi imprevisti, segnalibri ed entità. Le query comuni e le visualizzazioni dettagliate consentono agli analisti di analizzare le attività sospette. | Manuale SOC |
| app Microsoft Defender per il cloud - Log di individuazione | Fornisce informazioni dettagliate sulle app cloud usate nell'organizzazione e informazioni dettagliate sulle tendenze di utilizzo e sui dati di drill-down per utenti e applicazioni specifici. Per altre informazioni, vedere connettore Microsoft Defender per il cloud Apps per Microsoft Sentinel. |
Microsoft Defender for Cloud Apps |
| Log di controllo di Microsoft Entra | Usa i log di controllo per raccogliere informazioni dettagliate sugli scenari di MICROSOFT Entra ID. Informazioni sulle operazioni degli utenti, tra cui la gestione delle password e dei gruppi, le attività dei dispositivi e gli utenti e le app più attivi. Per altre informazioni, vedere Guida introduttiva: Introduzione a Microsoft Sentinel. |
Microsoft Entra ID |
| Log di accesso a Microsoft Entra | Fornisce informazioni dettagliate sulle operazioni di accesso, ad esempio accessi utente e posizioni, indirizzi di posta elettronica e indirizzi IP degli utenti, attività non riuscite e errori che hanno attivato gli errori. | Microsoft Entra ID |
| Cartella di lavoro MITRE ATT&CK | Fornisce informazioni dettagliate sulla copertura MITRE ATT&CK per Microsoft Sentinel. | Manuale SOC |
| Office 365 | Fornisce informazioni dettagliate su Office 365 tracciando e analizzando tutte le operazioni e le attività. Eseguire il drill-down nei dati di SharePoint, OneDrive, Teams e Exchange. | Microsoft 365 |
| Avvisi di sicurezza | Fornisce un dashboard avvisi di sicurezza per gli avvisi nell'ambiente Microsoft Sentinel. Per altre informazioni, vedere Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft. |
Manuale SOC |
| Efficienza delle operazioni di sicurezza | Destinato ai responsabili del Centro operativo per la sicurezza (SOC) per visualizzare le metriche e le misure di efficienza complessive relative alle prestazioni del team. Per altre informazioni, vedere Gestire meglio il SOC con le metriche degli eventi imprevisti. |
Manuale SOC |
| Intelligence sulle minacce | Fornisce informazioni dettagliate sull'inserimento degli indicatori di minaccia. Cercare indicatori su larga scala in tutti i carichi di lavoro microsoft di terze parti, di terze parti, locali, ibridi e multicloud. Per altre informazioni, vedere Informazioni sull'intelligence sulle minacce in Microsoft Sentinel e sul blog techCommunity. |
Intelligence per le minacce |
| Report sull'utilizzo dell'area di lavoro | Fornisce informazioni dettagliate sull'utilizzo dell'area di lavoro. Visualizzare l'utilizzo dei dati, latenza, le attività consigliate e le statistiche sui costi e sull'utilizzo dell'area di lavoro. | Report sull'utilizzo dell'area di lavoro |
| Zero Trust (TIC3.0) | Fornisce una visualizzazione automatizzata dei principi Zero Trust, a cui è stato fatto riferimento il framework Connessioni Internet attendibili. Per altre informazioni, vedere il blog sull'annuncio della cartella di lavoro Zero Trust (TIC 3.0). |
Zero Trust (TIC 3.0) |