常用的 Azure Sentinel 活頁簿
本文列出最常使用的Microsoft Sentinel 活頁簿。 從 Sentinel Microsoft 內容中樞安裝包含活頁簿的方案或獨立專案。 從內容中 樞 取得活頁簿,方法是在方案或獨立項目上選取 [管理 ]。 或者,在 [威脅管理] 底下的 Microsoft Sentinel 中,移至 [活頁簿],然後搜尋您想要使用的活頁簿。 如需詳細資訊,請參閱將資料視覺化並加以監視。
建議您部署任何與您內嵌至 Sentinel Microsoft數據相關聯的活頁簿。 活頁簿可讓您根據收集的數據進行更廣泛的監視和調查。 如需詳細資訊,請參閱 Microsoft Sentinel 數據連接器 和 探索和管理Microsoft Sentinel 現用內容。
常用的活頁簿
下表包含我們建議的活頁簿,以及包含活頁簿之內容中樞的解決方案或獨立專案。
| 活頁簿名稱 | 描述 | 內容中樞標題 |
|---|---|---|
| 分析健康情況與稽核 | 提供分析規則健康情況和稽核的可見度。 瞭解分析規則是否如預期般執行,並取得對分析規則所做的變更清單。 如需詳細資訊,請參閱 監視健康情況並稽核分析規則的完整性。 |
分析健康情況與稽核 |
| Azure 活動 | 藉由分析並關聯所有用戶作業和事件,提供組織 Azure 活動的廣泛見解。 如需詳細資訊,請參閱使用 Azure 活動記錄進行稽核。 |
Azure 活動 |
| Azure 安全性效能評定 | 提供雲端工作負載安全性狀態的可見度。 檢視記錄查詢、Azure 資源圖表和原則,以符合 Azure 安全性效能評定控制,涵蓋Microsoft安全性供應專案、Azure、Microsoft 365、第三方、內部部署和多重雲端工作負載。 如需詳細資訊,請參閱 TechCommunity 部落格。 |
Azure 安全性效能評定 |
| 網路安全性成熟度模型認證 (CMMC) | 提供一種方式,以檢視符合MICROSOFT組合中 CMMC 控件的記錄查詢,包括Microsoft安全性供應專案、Microsoft 365、Microsoft Teams、Intune、Azure 虛擬桌面等等。 如需詳細資訊,請參閱 TechCommunity 部落格。 |
網路安全性成熟度模型認證 (CMMC) 2.0 |
| 數據收集健康情況監視 | 提供工作區數據擷取狀態的深入解析,例如擷取大小、延遲和每個來源的記錄數目。 監視和偵測異常狀況,以協助您判斷工作區數據收集健康情況。 如需詳細資訊,請參閱 使用此Microsoft Sentinel 活頁簿監視數據連接器的健康情況。 |
數據收集健康情況監視 |
| 事件分析器 | 探索、稽核及加速 Windows 事件記錄分析。 包含所有事件詳細數據和屬性,例如安全性、應用程式、系統、設定、目錄服務、DNS 等等。 | Windows 安全性事件 |
| 身分識別與存取權 | 藉由使用稽核和登入記錄來收集使用Microsoft產品的深入解析,藉此收集身分識別與存取作業的見解,藉此收集和分析安全性記錄。 | Windows 安全性事件 |
| 事件概觀 | 其設計目的是提供事件的相關深入資訊,包括一般資訊、實體數據、分級時間、緩和時間和批注,以協助分級和調查。 如需詳細資訊,請參閱 Data-Driven SOC 工具組。 |
SOC 手冊 |
| 調查深入解析 | 提供分析師對事件、書籤和實體數據的深入解析。 常見的查詢和詳細的視覺效果可協助分析師調查可疑的活動。 | SOC 手冊 |
| 適用於雲端的 Microsoft Defender Apps - 探索記錄 | 提供有關組織中所用雲端應用程式的詳細數據,以及特定使用者和應用程式的使用量趨勢和向下切入數據的深入解析。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender Apps 連接器 for Microsoft Sentinel。 |
適用於雲端應用程式的 Microsoft Defender |
| Microsoft專案稽核記錄 | 使用稽核記錄來收集Microsoft Entra ID 案例的深入解析。 瞭解用戶作業,包括密碼和群組管理、裝置活動,以及最活躍的用戶和應用程式。 如需詳細資訊,請參閱 快速入門:開始使用 Microsoft Sentinel。 |
Microsoft Entra ID |
| Microsoft Entra 登入記錄 | 提供登入作業的深入解析,例如使用者登入和位置、電子郵件地址和使用者IP位址、失敗的活動,以及觸發失敗的錯誤。 | Microsoft Entra ID |
| MITRE ATT&CK 活頁簿 | 提供Microsoft Sentinel 之 MITRE ATT&CK 涵蓋範圍的詳細數據。 | SOC 手冊 |
| Office 365 | 藉由追蹤和分析所有作業和活動,提供 Office 365 的見解。 向下切入至 SharePoint、OneDrive、Teams 和 Exchange 數據。 | Microsoft 365 |
| 安全性警示 | 提供Microsoft Sentinel 環境中警示的安全性警示儀錶板。 如需詳細資訊,請參閱 從Microsoft安全性警示自動建立事件。 |
SOC 手冊 |
| 安全性作業效率 | 適用於安全性作業中心 (SOC) 經理,以檢視小組效能的整體效率計量和量值。 如需詳細資訊,請參閱 使用事件計量更妥善地管理SOC。 |
SOC 手冊 |
| 威脅情報 | 提供威脅指標擷取的見解。 在Microsoft第一方、第三方、內部部署、混合式和多雲端工作負載之間大規模搜尋指標。 如需詳細資訊,請參閱 瞭解 Sentinel Microsoft中的威脅情報和 TechCommunity 部落格。 |
威脅情報 |
| 工作區使用量報告 | 提供工作區使用量的深入解析。 檢視工作區的數據耗用量、延遲、建議的工作,以及成本和使用量統計數據。 | 工作區使用量報告 |
| 零信任 (TIC3.0) | 提供 零信任 原則的自動化視覺效果,並交叉引導至受信任的因特網連線架構。 如需詳細資訊,請參閱 零信任 (TIC 3.0) 活頁簿公告部落格。 |
零信任 (TIC 3.0) |