Часто используемые книги Microsoft Sentinel
В следующей таблице перечислены наиболее часто используемые встроенные книги Microsoft Sentinel.
Откройте книгу в Microsoft Sentinel в разделе Управление угрозами>Книги слева и найдите книгу, которую хотите использовать. Дополнительные сведения см. в статье о визуализации и мониторинге данных.
Совет
Рекомендуется развернуть все книги, связанные с принимаемыми данными. Книги расширяют возможности для мониторинга и анализа собранных данных.
Дополнительные сведения см. в статьях Соединители данных Microsoft Sentinel и Централизованное обнаружение и развертывание стандартного содержимого и решений Microsoft Sentinel.
| Имя книги | Description |
|---|---|
| Эффективность аналитики | Предоставляет сведения об эффективности правил аналитики, чтобы помочь вам повысить производительность SOC. Дополнительные сведения см. в разделе Набор средств для SOC, управляемых данными. |
| Действия Azure | Предоставляет подробные сведения об активности вашей организации в Azure путем анализа и сопоставления всех пользовательских операций и событий. Дополнительные сведения см. в разделе Аудит с помощью журналов действий Azure. |
| Журналы аудита Microsoft Entra | Использует журналы аудита Microsoft Entra для предоставления аналитических сведений о сценариях Microsoft Entra. Дополнительные сведения см. в документации по началу работы с Microsoft Sentinel. |
| Журналы аудита, действий и входа в Microsoft Entra | Предоставляет аналитические сведения об аудите, активности и входе Microsoft с одной книгой. Показывает различные действия, такие как входы в систему по расположению, устройству, причине сбоя, действию пользователя и т. д. Эта книга может использоваться как отделом безопасности, так и администраторами Azure. |
| Журналы входа в Microsoft Entra | Использует журналы входа Microsoft Entra для предоставления аналитических сведений о сценариях Microsoft Entra. |
| Управление безопасностью в облаке Майкрософт | Предоставляет одну панель стекла для сбора и управления данными для решения требований к управлению контрольным показателем безопасности в облаке Майкрософт, агрегируя данные из 25 продуктов безопасности Майкрософт. Дополнительные сведения см. в блоге технического сообщества. |
| Cybersecurity Maturity Model Certification (CMMC) | Предоставляет механизм для просмотра запросов к журналам, согласованных с элементами под управлением CMMC из всего портфеля Майкрософт, включая предложения безопасности Майкрософт, Office 365, Teams, Intune, виртуальные рабочие столы Azure и т. д. Дополнительные сведения см. в блоге технического сообщества. |
| Мониторинг состояния работоспособности для сбора данных / Мониторинг использования | Предоставляет аналитические сведения о состоянии приема данных в рабочей области, такие как объем принимаемых данных, задержка и количество журналов на источник. Просматривает мониторы и обнаруживает аномалии, которые помогут определить работоспособность сбора данных в рабочих областях. Дополнительные сведения см. в статье Мониторинг работоспособности соединителей данных. |
| Анализатор событий | Позволяет изучить, проверить и ускорить анализ журналов событий Windows, включая все сведения о событиях и все атрибуты событий, такие как "Безопасность", "Приложение", "Система", "Информация об установке", "Служба каталогов", "DNS" и другие. |
| Exchange Online | Предоставляет аналитические сведения о Microsoft Exchange Online путем трассировки и анализа всех операций Exchange и действий пользователя. |
| Идентификация и доступ | Предоставляет сведения об операциях идентификации и доступа при использовании продуктов Майкрософт с помощью журналов безопасности, содержащих журналы аудита и входа. |
| Обзор инцидентов | Помогает в рассмотрении и исследовании, предоставляя подробные сведения об инциденте, включая общие сведения, данные сущности, время рассмотрения, время устранения и комментарии. Дополнительные сведения см. в разделе Набор средств для SOC, управляемых данными. |
| Аналитические сведения для исследования | Предоставляет аналитикам аналитические сведения об инцидентах, закладках и данных сущностей. Общие запросы и подробные визуализации могут помочь аналитикам исследовать подозрительные действия. |
| Microsoft Defender для облачных приложений — журналы обнаружения | Предоставляет сведения об облачных приложениях, используемых в организации, а также о тенденциях использования и детализации данных для конкретных пользователей и приложений. Дополнительные сведения см. в статье о подключении данных из Microsoft Defender для облачных приложений. |
| Книга MITRE ATT&CK | Содержит сведения о охвате MITRE ATT&CK для Microsoft Sentinel. |
| Office 365 | Предоставляет аналитические сведения об Office 365 путем трассировки и анализа всех операций и действий. Детализирует данные SharePoint, OneDrive, Teams и Exchange. |
| оповещения безопасности | Предоставляет панель мониторинга оповещений системы безопасности в вашей среде Microsoft Sentinel. Дополнительные сведения о правилах безопасности см. в разделе Автоматическое создание инцидентов на основе оповещений системы безопасности Майкрософт. |
| Эффективность операций безопасности | Позволяет менеджерам центра информационной безопасности (SOC) просматривать общие метрики эффективности и показатели производительности их команд. Дополнительные сведения см. в статье Более эффективное управление SOC с помощью метрик инцидента. |
| Аналитика угроз | Предоставляет аналитические сведения по индикаторам угроз, включая тип и серьезность угроз, активность угроз с течением времени и корреляцию с другими источниками данных, включая брандмауэры и Office 365. Дополнительные сведения см. в статье Знакомство с аналитикой угроз в Microsoft Sentinel и в нашем блоге технического сообщества. |
| "Никому не доверяй" (TIC3.0) | Предоставляет автоматическую визуализацию принципов "Никому не доверяй" на основе платформы доверенных подключений к Интернету. Дополнительные сведения см. в блоге объявлений о книге "Никому не доверяй" (TIC 3.0). |