Pastas de trabalho do Microsoft Sentinel comumente usadas

A tabela a seguir lista as pastas de trabalho internas do Microsoft Sentinel mais usadas.

Aceda a livros no Microsoft Sentinel em Livros de Gestão de> Ameaças à esquerda e, em seguida, procure o livro que pretende utilizar. Para obter mais informações, consulte Visualizar e monitorar seus dados.

Gorjeta

Recomendamos a implantação de todas as pastas de trabalho associadas aos dados que você está ingerindo. As pastas de trabalho permitem um monitoramento e investigação mais amplos com base nos dados coletados.

Para obter mais informações, consulte Conectar fontes de dados e Descobrir e implantar centralmente conteúdo e soluções prontos para uso do Microsoft Sentinel.

Nome da pasta de trabalho Description
Eficiência analítica Fornece informações sobre a eficácia de suas regras de análise para ajudá-lo a obter um melhor desempenho de SOC.

Para obter mais informações, consulte The Toolkit for Data-Driven SOCs.
Atividade do Azure Fornece uma visão abrangente da atividade do Azure da sua organização, analisando e correlacionando todas as operações e eventos do usuário.

Para obter mais informações, consulte Auditoria com logs de atividade do Azure.
Logs de auditoria do Microsoft Entra Usa logs de auditoria do Microsoft Entra para fornecer informações sobre cenários do Microsoft Entra.

Para obter mais informações, consulte Guia de início rápido: introdução ao Microsoft Sentinel.
Logs de auditoria, atividade e entrada do Microsoft Entra Fornece informações sobre dados de auditoria, atividade e entrada do Microsoft Entra com uma pasta de trabalho. Mostra atividades como entradas por local, dispositivo, motivo da falha, ação do usuário e muito mais.

Esta pasta de trabalho pode ser usada por administradores de Segurança e do Azure.
Logs de entrada do Microsoft Entra Usa os logs de entrada do Microsoft Entra para fornecer informações sobre cenários do Microsoft Entra.
Referência da segurança da cloud da Microsoft Fornece um painel único para coletar e gerenciar dados para atender aos requisitos de controle de referência de segurança na nuvem da Microsoft, agregando dados de 25+ produtos de segurança da Microsoft.

Para obter mais informações, consulte nosso blog TechCommunity.
Certificação do Modelo de Maturidade em Cibersegurança (CMMC) Fornece um mecanismo para exibir consultas de log alinhadas aos controles CMMC em todo o portfólio da Microsoft, incluindo ofertas de segurança da Microsoft, Office 365, Teams, Intune, Área de Trabalho Virtual do Azure e assim por diante.

Para obter mais informações, consulte nosso blog TechCommunity.
Monitorização do estado de funcionamento da recolha de dados Monitorização / da utilização Fornece informações sobre o status de ingestão de dados do seu espaço de trabalho, como tamanho da ingestão, latência e número de logs por fonte. Exiba monitores e detete anomalias para ajudá-lo a determinar a integridade da coleta de dados de seus espaços de trabalho.

Para obter mais informações, consulte Monitorar a integridade de seus conectores de dados com esta pasta de trabalho do Microsoft Sentinel.
Analisador de eventos Permite explorar, auditar e acelerar a análise do Log de Eventos do Windows, incluindo todos os detalhes e atributos de eventos, como segurança, aplicativo, sistema, instalação, serviço de diretório, DNS e assim por diante.
Exchange Online Fornece informações sobre o Microsoft Exchange online rastreando e analisando todas as operações do Exchange e atividades do usuário.
Identidade e Acesso Fornece informações sobre operações de identidade e acesso no uso de produtos Microsoft, por meio de logs de segurança que incluem logs de auditoria e entrada.
Visão geral do incidente Projetado para ajudar na triagem e investigação, fornecendo informações detalhadas sobre um incidente, incluindo informações gerais, dados da entidade, tempo de triagem, tempo de mitigação e comentários.

Para obter mais informações, consulte The Toolkit for Data-Driven SOCs.
Insights de investigação Fornece aos analistas informações sobre incidentes, marcadores e dados de entidades. Consultas comuns e visualizações detalhadas podem ajudar os analistas a investigar atividades suspeitas.
Microsoft Defender for Cloud Apps - logs de descoberta Fornece detalhes sobre os aplicativos de nuvem que são usados em sua organização e insights de tendências de uso e dados detalhados para usuários e aplicativos específicos.

Para obter mais informações, consulte Conectar dados do Microsoft Defender for Cloud Apps.
Pasta de trabalho MITRE ATT&CK Fornece detalhes sobre a cobertura MITRE ATT&CK para o Microsoft Sentinel.
Office 365 Fornece informações sobre o Office 365 rastreando e analisando todas as operações e atividades. Analise detalhadamente os dados do SharePoint, OneDrive, Teams e Exchange.
Alertas de Segurança Fornece um painel de Alertas de Segurança para alertas em seu ambiente Microsoft Sentinel.

Para obter mais informações, consulte Criar incidentes automaticamente a partir de alertas de segurança da Microsoft.
Eficiência das Operações de Segurança Destinado aos gerentes do centro de operações de segurança (SOC) para visualizar métricas e medidas gerais de eficiência em relação ao desempenho de sua equipe.

Para obter mais informações, consulte Gerencie melhor seu SOC com métricas de incidentes.
Inteligência de ameaças Fornece informações sobre indicadores de ameaça, incluindo tipo e gravidade de ameaças, atividade de ameaças ao longo do tempo e correlação com outras fontes de dados, incluindo o Office 365 e firewalls.

Para obter mais informações, consulte Compreender a inteligência contra ameaças no Microsoft Sentinel e nosso blog TechCommunity.
Confiança Zero (TIC3.0) Fornece uma visualização automatizada dos princípios do Zero Trust, cruzada com a estrutura Conexões de Internet Confiáveis.

Para obter mais informações, consulte o blog de anúncio da pasta de trabalho Zero Trust (TIC 3.0).