Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены наиболее часто используемые книги Microsoft Sentinel. Установите решение или автономный элемент, содержащий книгу из центра содержимого в Microsoft Sentinel. Получите книгу из концентратора контента , выбрав "Управление " в решении или автономном элементе. Или в Microsoft Sentinel в разделе "Управление угрозами" перейдите к книгам и найдите книгу, которую вы хотите использовать. Дополнительные сведения см. в статье Визуализация и мониторинг данных.
Мы рекомендуем развернуть все книги, связанные с данными, которые вы используете в Microsoft Sentinel. Книги расширяют возможности для мониторинга и анализа собранных данных. Дополнительные сведения см. в разделе Соединители данных Microsoft Sentinel и обнаружение и управление содержимым Microsoft Sentinel вне поля.
Часто используемые книги
В следующей таблице перечислены книги, которые мы рекомендуем, и решение или автономный элемент из концентратора контента , содержащего книгу.
| Имя книги | Описание | Заголовок концентратора содержимого |
|---|---|---|
| Аналитика работоспособности и аудита | Обеспечивает видимость работоспособности и аудита правил аналитики. Узнайте, выполняется ли правило аналитики как ожидалось, и получите список изменений, внесенных в правило аналитики. Дополнительные сведения см. в разделе "Мониторинг работоспособности и аудит целостности правил аналитики". |
Аналитика работоспособности и аудита |
| Действие Azure | Предоставляет подробные сведения об активности вашей организации в Azure путем анализа и сопоставления всех пользовательских операций и событий. Дополнительные сведения см. в статье "Аудит с помощью журналов действий Azure". |
Действие Azure |
| Тесты производительности системы безопасности Azure | Обеспечивает видимость состояния безопасности облачных рабочих нагрузок. Просмотр запросов журналов, графа ресурсов Azure и политик, согласованных с элементами управления Azure Security Benchmark в предложениях безопасности Майкрософт, Azure, Microsoft 365, сторонних, локальных и многооблачных рабочих нагрузок. Дополнительные сведения см. в нашем блоге TechCommunity. |
Тестирование безопасности Azure |
| Сертификация модели зрелости кибербезопасности (CMMC) | Предоставляет способ просмотра запросов журналов, согласованных с элементами управления CMMC в портфеле Майкрософт, включая предложения безопасности Майкрософт, Microsoft 365, Microsoft Teams, Intune, Виртуальный рабочий стол Azure и многое другое. Дополнительные сведения см. в нашем блоге TechCommunity. |
Сертификация модели зрелости кибербезопасности (CMMC) 2.0 |
| Мониторинг работоспособности сбора данных | Предоставляет аналитические сведения о состоянии приема данных в рабочей области, такие как объем принимаемых данных, задержка и количество журналов на источник. Отслеживает и обнаруживает аномалии, помогающие определить работоспособность сбора данных рабочих областей. Дополнительные сведения см. в статье "Мониторинг работоспособности соединителей данных" с помощью этой книги Microsoft Sentinel. |
Мониторинг состояния работоспособности для сбора данных |
| Анализатор событий | Изучение, аудит и ускорение анализа журнала событий Windows. Включает все сведения о событиях и атрибуты, такие как безопасность, приложение, система, настройка, служба каталогов, DNS и многое другое. | События безопасности Windows |
| Удостоверение и доступ | Предоставляет аналитические сведения об операциях идентификации и доступа, собирая и анализируя журналы безопасности, используя журналы аудита и входа для сбора аналитических сведений об использовании продуктов Майкрософт. | События безопасности Windows |
| Обзор инцидентов | Помогает в рассмотрении и исследовании, предоставляя подробные сведения об инциденте, включая общие сведения, данные сущности, время рассмотрения, время устранения и комментарии. Дополнительные сведения см . в разделе "Набор средств для Data-Driven SOCS". |
Справочник ПО SOC |
| Аналитика исследований | Предоставляет аналитикам аналитические сведения об инцидентах, закладках и данных сущностей. Общие запросы и подробные визуализации могут помочь аналитикам исследовать подозрительные действия. | Справочник ПО SOC |
| Microsoft Defender для облачных приложений — журналы обнаружения | Предоставляет сведения об облачных приложениях, используемых в организации, а также о тенденциях использования и детализации данных для конкретных пользователей и приложений. Дополнительные сведения см. в разделе Соединитель Microsoft Defender для облачных приложений для Microsoft Sentinel. |
Microsoft Defender для облачных приложений |
| Журналы аудита Microsoft Entra | Использует журналы аудита для сбора аналитических сведений о сценариях идентификатора Microsoft Entra ID. Сведения об операциях пользователей, включая управление паролями и группами, действия устройств и основные активные пользователи и приложения. Дополнительные сведения см. в кратком руководстве по началу работы с Microsoft Sentinel. |
Microsoft Entra ID |
| Журналы входа в Microsoft Entra | Предоставляет аналитические сведения для операций входа, таких как вход пользователей и расположения, адреса электронной почты и IP-адреса пользователей, неудачные действия и ошибки, которые вызвали сбои. | Microsoft Entra ID |
| Книга MITRE ATT&CK | Содержит сведения о охвате MITRE ATT&CK для Microsoft Sentinel. | Справочник ПО SOC |
| Office 365 | Предоставляет аналитические сведения об Office 365 путем трассировки и анализа всех операций и действий. Детализирует данные SharePoint, OneDrive, Teams и Exchange. | Microsoft 365 |
| Оповещения системы безопасности | Предоставляет панель мониторинга оповещений системы безопасности в вашей среде Microsoft Sentinel. Дополнительные сведения см. в статье Автоматическое создание инцидентов из оповещений системы безопасности Майкрософт. |
Справочник ПО SOC |
| Эффективность операций безопасности | Позволяет менеджерам центра информационной безопасности (SOC) просматривать общие метрики эффективности и показатели производительности их команд. Дополнительные сведения см. в статье "Управление SOC" с помощью метрик инцидентов. |
Справочник ПО SOC |
| Аналитика угроз | Предоставляет аналитические сведения о приеме индикаторов угроз. Поиск индикаторов в большом масштабе между сторонними, 3-й стороной, локальными, гибридными и многооблачными рабочими нагрузками. Дополнительные сведения см. в статье "Общие сведения об аналитике угроз" в Microsoft Sentinel и блоге TechCommunity. |
Аналитика угроз |
| Отчет об использовании рабочей области | Предоставляет аналитические сведения об использовании рабочей области. Просмотр потребления данных, задержки, рекомендуемых задач и статистики использования рабочей области. | Отчет об использовании рабочей области |
| Нулевое доверие (TIC3.0) | Предоставляет автоматическую визуализацию принципов нулевого доверия, перекрестную переход к платформе доверенных подключений к Интернету. Дополнительные сведения см. в блоге о объявлении книги "Нулевое доверие" (TIC 3.0). |
Нулевое доверие (TIC 3.0) |