Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die am häufigsten verwendeten Microsoft Sentinel Arbeitsmappen aufgeführt. Installieren Sie die Projektmappe oder das eigenständige Element, das die Arbeitsmappe enthält, aus dem Inhaltshub in Microsoft Sentinel. Rufen Sie die Arbeitsmappe aus dem Inhaltshub ab, indem Sie für die Projektmappe oder das eigenständige Element Verwalten auswählen. Oder wechseln Sie in Microsoft Sentinel unter Bedrohungsverwaltung zu Arbeitsmappen, und suchen Sie nach der Arbeitsmappe, die Sie verwenden möchten. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten.
Es wird empfohlen, alle Arbeitsmappen bereitzustellen, die den von Ihnen erfassten Daten in Microsoft Sentinel zugeordnet sind. Arbeitsmappen ermöglichen eine umfassendere Überwachung und Untersuchung basierend auf Ihren gesammelten Daten. Weitere Informationen finden Sie unter Microsoft Sentinel Datenconnectors und Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.
Häufig verwendete Arbeitsmappen
Die folgende Tabelle enthält die empfohlenen Arbeitsmappen und die Lösung oder das eigenständige Element aus dem Inhaltshub , der die Arbeitsmappe enthält.
| Arbeitsmappenname | Beschreibung | Content Hub-Titel |
|---|---|---|
| Analytics Health & Audit | Bietet Einblick in die Integrität und Überwachung Ihrer Analyseregeln. Ermitteln Sie, ob eine Analyseregel wie erwartet ausgeführt wird, und rufen Sie eine Liste der Änderungen ab, die an einer Analyseregel vorgenommen wurden. Weitere Informationen finden Sie unter Überwachen der Integrität und Überwachen der Integrität Ihrer Analyseregeln. |
Analytics Health & Audit |
| Azure-Aktivität | Bietet umfassende Einblicke in die Azure Aktivität Ihrer organization, indem alle Benutzervorgänge und -ereignisse analysiert und korreliert werden. Weitere Informationen finden Sie unter Überwachung mit Azure Aktivitätsprotokollen. |
Azure-Aktivität |
| Azure-Sicherheitsvergleichstest | Bietet Transparenz für den Sicherheitsstatus von Cloudworkloads. Zeigen Sie Protokollabfragen, Azure Ressourcendiagramm und Richtlinien an, die auf Azure Sicherheitsvergleichstest-Kontrollen für Microsoft-Sicherheitsangebote, Azure, Microsoft 365, Drittanbieterworkloads, lokale und Multicloudworkloads ausgerichtet sind. Weitere Informationen finden Sie in unserem TechCommunity-Blog. |
Azure-Sicherheitsvergleichstest |
| Cybersecurity Maturity Model Certification (CMMC) | Bietet eine Möglichkeit zum Anzeigen von Protokollabfragen, die an CMMC-Steuerelementen im gesamten Microsoft-Portfolio ausgerichtet sind, einschließlich Microsoft-Sicherheitsangeboten, Microsoft 365, Microsoft Teams, Intune, Azure Virtual Desktop und mehr. Weitere Informationen finden Sie in unserem TechCommunity-Blog. |
Cybersecurity Maturity Model Certification (CMMC) 2.0 |
| Integritätsüberwachung der Datensammlung | Bietet Einblicke in die Datenerfassung status Ihres Arbeitsbereichs, z. B. Erfassungsgröße, Latenz und Anzahl von Protokollen pro Quelle. Überwacht und erkennt Anomalien, damit Sie den Integritätsstatus Ihrer Arbeitsbereichsdatensammlung bestimmen können. Weitere Informationen finden Sie unter Überwachen der Integrität Ihrer Datenconnectors mit dieser Microsoft Sentinel Arbeitsmappe. |
Integritätsüberwachung der Datensammlung |
| Ereignisanalyse | Untersuchen, überwachen und beschleunigen Sie die Analyse des Windows-Ereignisprotokolls. Enthält alle Ereignisdetails und -attribute, z. B. Sicherheit, Anwendung, System, Setup, Verzeichnisdienst, DNS und mehr. | Windows-Sicherheit-Ereignisse |
| Identity & Access | Bietet Einblicke in Identitäts- und Zugriffsvorgänge, indem Sicherheitsprotokolle gesammelt und analysiert werden und die Überwachungs- und Anmeldeprotokolle verwendet werden, um Einblicke in die Verwendung von Microsoft-Produkten zu gewinnen. | Windows-Sicherheit-Ereignisse |
| Übersicht über Incidents | Wurde entwickelt, um bei der Selektierung und Untersuchung zu helfen, indem detaillierte Informationen zu einem Incident bereitgestellt werden, einschließlich allgemeiner Informationen, Entitätsdaten, Selektierungszeit, Entschärfungszeit und Kommentaren. Weitere Informationen finden Sie unter Das Toolkit für Data-Driven SOCs. |
SOC-Handbuch |
| Untersuchungserkenntnisse | Bietet Analysten Einblicke in Incident-, Lesezeichen- und Entitätsdaten. Allgemeine Abfragen und detaillierte Visualisierungen können Analysten dabei helfen, verdächtige Aktivitäten zu untersuchen. | SOC-Handbuch |
| Microsoft Defender for Cloud Apps : Ermittlungsprotokolle | Enthält Details zu den Cloud-Apps, die in Ihrem organization verwendet werden, sowie Erkenntnisse aus Nutzungstrends und Drilldowndaten für bestimmte Benutzer und Anwendungen. Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps Connector für Microsoft Sentinel. |
Microsoft Defender for Cloud Apps |
| Microsoft Entra-Überwachungsprotokolle | Verwendet die Überwachungsprotokolle, um Erkenntnisse zu Microsoft Entra ID Szenarien zu sammeln. Erfahren Sie mehr über Benutzervorgänge, einschließlich Kennwort- und Gruppenverwaltung, Geräteaktivitäten und aktivesten Benutzern und Apps. Weitere Informationen finden Sie unter Schnellstart: Erste Schritte mit Microsoft Sentinel. |
Microsoft Entra-ID |
| Microsoft Entra-Anmeldeprotokolle | Bietet Einblicke in Anmeldevorgänge, z. B. Benutzeranmeldungen und -speicherorte, E-Mail-Adressen und IP-Adressen Ihrer Benutzer, fehlgeschlagene Aktivitäten und die Fehler, die die Fehler ausgelöst haben. | Microsoft Entra-ID |
| MITRE ATT&CK-Arbeitsmappe | Enthält Details zur MITRE ATT&CK-Abdeckung für Microsoft Sentinel. | SOC-Handbuch |
| Office 365 | Bietet Einblicke in Office 365, indem alle Vorgänge und Aktivitäten nachverfolgt und analysiert werden. Führen Sie einen Drilldown in SharePoint-, OneDrive-, Teams- und Exchange-Daten durch. | Microsoft 365 |
| Sicherheitswarnungen | Stellt eine sicherheitswarnungen Dashboard für Warnungen in Ihrer Microsoft Sentinel-Umgebung bereit. Weitere Informationen finden Sie unter Automatisches Erstellen von Incidents aus Microsoft-Sicherheitswarnungen. |
SOC-Handbuch |
| Effizienz von Sicherheitsvorgängen | Ist für SoC-Manager (Security Operations Center) vorgesehen, um die Gesamteffizienzmetriken und -maßnahmen in Bezug auf die Leistung ihres Teams anzuzeigen. Weitere Informationen finden Sie unter Verwalten Ihres SOC mit Incidentmetriken. |
SOC-Handbuch |
| Threat Intelligence | Bietet Einblicke in die Erfassung von Bedrohungsindikatoren. Suchen Sie nach Indikatoren im großen Stil für Microsoft 1st-, Drittanbieter-, lokale, Hybrid- und Multicloudworkloads. Weitere Informationen finden Sie unter Grundlegendes zu Threat Intelligence in Microsoft Sentinel und unserem TechCommunity-Blog. |
Threat Intelligence |
| Arbeitsbereichsnutzungsbericht | Bietet Einblicke in die Nutzung Ihres Arbeitsbereichs. Zeigen Sie die Datennutzung, Latenz, empfohlene Aufgaben sowie Kosten- und Nutzungsstatistiken Ihres Arbeitsbereichs an. | Arbeitsbereichsnutzungsbericht |
| Zero Trust (TIC3.0) | Stellt eine automatisierte Visualisierung Zero Trust Prinzipien bereit, die über das Framework für vertrauenswürdige Internetverbindungen hinweg durchlaufen werden. Weitere Informationen finden Sie im Blog zur Ankündigung der Zero Trust -Arbeitsmappe (TIC 3.0). |
Zero Trust (TIC 3.0) |