你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
常用的 Microsoft Sentinel 工作簿
下表列出了最常用的内置 Microsoft Sentinel 工作簿。
在左侧的“威胁管理”>“工作簿”下访问 Microsoft Sentinel 中的工作簿,然后搜索要使用的工作簿 。 有关详细信息,请参阅可视化和监视数据。
提示
我们建议部署与你所引入的数据关联的任何工作簿。 使用工作簿可基于收集的数据进行更广泛的监视和调查。
有关详细信息,请参阅连接数据源以及集中发现和部署 Microsoft Sentinel 中现成可用的内容和解决方案。
工作簿名称 | 描述 |
---|---|
分析效率 | 提供对分析规则效力的见解,帮助实现更好的 SOC 性能。 有关详细信息,请参阅用于数据驱动的 SOC 的工具包。 |
Azure 活动 | 通过分析和关联所有用户操作和事件提供对组织的 Azure 活动的深入见解。 有关详细信息,请参阅通过 Azure 活动日志进行审核。 |
Microsoft Entra 审核日志 | 使用 Microsoft Entra 审核日志提供对 Microsoft Entra 方案的见解。 有关详细信息,请参阅快速入门:开始使用 Microsoft Sentinel。 |
Microsoft Entra 审核、活动和登录日志 | 通过一个工作簿,提供对 Microsoft Entra 审核、活动和登录数据的见解。 按位置、设备、失败原因、用户操作等显示活动(例如,登录)。 此工作簿可供安全管理员和 Azure 管理员使用。 |
Microsoft Entra 登录日志 | 使用 Microsoft Entra 登录日志提供对 Microsoft Entra 方案的见解。 |
Microsoft 云安全基准 | 提供用于收集和管理数据的单一虚拟管理平台,以满足 Microsoft 云安全基准控制要求,聚合来自 25 多个 Microsoft 安全产品的数据。 有关详细信息,请参阅技术社区博客。 |
网络安全成熟度模型认证 (CMMC) | 提供了一种机制,用于查看与 Microsoft 产品组合(包括 Microsoft 安全产品/服务、Office 365、Teams、Intune、Azure 虚拟桌面等)上 CMMC 控件一致的日志查询。 有关详细信息,请参阅技术社区博客。 |
数据收集运行状况监视 / 使用情况监视 | 提供对工作区数据引入状态的见解,例如引入大小、延迟和每个源的日志数。 查看监视器并检测异常,以帮助你确定工作区数据收集运行状况。 有关详细信息,请参阅通过此 Microsoft Sentinel 工作簿监视数据连接器的运行状况。 |
事件分析器 | 借助事件分析器工作簿,可以浏览和审核 Windows 事件日志,并加快对 Windows 事件日志的分析,其中包括所有事件详细信息和属性(如安全性、应用程序、系统、安装程序、目录服务、DNS 等)。 |
Exchange Online | 通过跟踪和分析所有 Exchange 操作和用户活动,深入了解 Microsoft Exchange online。 |
标识和访问 | 通过包含审核和登录日志的安全日志,提供对 Microsoft 产品使用中的标识和访问操作的见解。 |
事件概述 | 旨在通过提供有关事件的详细信息(包括常规信息、实体数据、会审时间、缓解时间和注释)来帮助进行会审和调查。 有关详细信息,请参阅用于数据驱动的 SOC 的工具包。 |
调查见解 | 为分析师提供对事件、书签和实体数据的见解。 常见查询和详细可视化效果可帮助分析师调查可疑活动。 |
Microsoft Defender for Cloud Apps - 发现日志 | 提供有关在组织中使用的云应用的详细信息,以及针对特定用户和应用程序的使用趋势和深化数据的见解。 有关详细信息,请参阅连接来自 Microsoft Defender for Cloud Apps 的数据。 |
MITRE ATT&CK 工作簿 | 提供有关 Microsoft Sentinel 的 MITRE ATT&CK 覆盖范围的详细信息。 |
Office 365 | 通过跟踪和分析所有操作和活动,提供对 Office 365 的见解。 向下钻取到 SharePoint、OneDrive、Teams 和 Exchange 数据。 |
安全警报 | 提供用于 Microsoft Sentinel 环境中的警报的安全警报仪表板。 有关详细信息,请参阅从 Microsoft 安全警报自动创建事件。 |
安全操作效率 | 旨在用于安全运营中心 (SOC) 管理器查看有关其团队性能的总体效率指标和度量值。 有关详细信息,请参阅通过事件指标更好地管理 SOC。 |
威胁情报 | 深入了解威胁指示器,包括威胁的类型和严重性、一段时间内的威胁活动以及与其他数据源(包括 Office 365 和防火墙)的关联。 有关详细信息,请参阅了解 Microsoft Sentinel 中的威胁情报和技术社区博客。 |
零信任 (TIC3.0) | 提供对交叉遍历到受信任 Internet 连接框架的零信任原则的自动可视化。 有关详细信息,请参阅零信任 (TIC 3.0) 工作簿公告博客。 |