Zjišťování a správa zastaralého obsahu služby Microsoft Sentinel
Centrum obsahu služby Microsoft Sentinel je vaše centralizované umístění pro zjišťování a správu předem vytvořeného obsahu (integrovaného). Najdete zde zabalená řešení pro kompletní produkty podle domény nebo odvětví. Máte přístup k obrovskému počtu samostatných příspěvků hostovaných v našem úložišti GitHubu a v ostřích funkcí.
Objevte řešení a samostatný obsah s konzistentní sadou možností filtrování na základě stavu, typu obsahu, podpory, poskytovatele a kategorie.
Nainstalujte obsah do pracovního prostoru najednou nebo jednotlivě.
Umožňuje zobrazit obsah v zobrazení seznamu a rychle zjistit, která řešení mají aktualizace. Řešení aktualizací najednou, zatímco samostatné aktualizace obsahu se automaticky aktualizují.
Spravujte řešení pro instalaci typů obsahu a získejte nejnovější změny.
Nakonfigurujte samostatný obsah pro vytváření nových aktivních položek na základě nejaktuálnější šablony.
Pokud jste partner, který chce vytvořit vlastní řešení, přečtěte si příručku k sestavení řešení Microsoft Sentinelu pro vytváření a publikování řešení.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Požadavky
K instalaci, aktualizaci a odstranění samostatného obsahu nebo řešení v centru obsahu potřebujete roli Přispěvatel Služby Microsoft Sentinel na úrovni skupiny prostředků.
Další informace o dalších rolích a oprávněních podporovaných pro Microsoft Sentinel najdete v tématu Oprávnění v Microsoft Sentinelu.
Zjistit obsah
Centrum obsahu nabízí nejlepší způsob, jak najít nový obsah nebo spravovat řešení, která jste už nainstalovali.
Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Centrum obsahu.
Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.Na stránce Centrum obsahu se zobrazí prohledávatelná mřížka nebo seznam řešení a samostatný obsah.
Vyfiltrujte zobrazený seznam, a to buď výběrem konkrétních hodnot z filtrů, nebo zadáním libovolné části názvu nebo popisu obsahu do vyhledávacího pole.
Další informace najdete v tématu Kategorie pro zastaralý obsah a řešení služby Microsoft Sentinel.
Výběrem zobrazení Karta zobrazíte další informace o řešení.
Každá položka obsahu zobrazuje kategorie, které se na ni vztahují, a řešení zobrazují typy zahrnutého obsahu. Například na následujícím obrázku řešení Cisco Umbrella uvádí jednu z jejích kategorií jako Zabezpečení – Cloud Security a označuje, že obsahuje datový konektor, analytická pravidla, dotazy proaktivního vyhledávání, playbooky a další.
Instalace nebo aktualizace obsahu
Nainstalujte samostatný obsah a řešení jednotlivě nebo hromadně společně. Další informace o hromadných operacích najdete v části Hromadná instalace a aktualizace obsahu v další části.
Pokud má řešení, které jste nasadili, aktualizace od posledního nasazení, zobrazí se v zobrazení seznamu ve sloupci Stav aktualizace . Řešení je také součástí počtu aktualizací v horní části stránky.
Tady je příklad znázorňující instalaci jednotlivých řešení.
V centru obsahu vyhledejte a vyberte řešení.
V podokně podrobností řešení v pravém dolním rohu vyberte Zobrazit podrobnosti.
Vyberte Vytvořit nebo Aktualizovat.
Na kartě Základy zadejte předplatné, skupinu prostředků a pracovní prostor pro nasazení řešení. Příklad:
Pokud chcete procházet zbývající karty, přečtěte si další informace a v některých případech nakonfigurujte jednotlivé součásti obsahu.
Karty odpovídají obsahu nabízenému řešením. Různá řešení můžou mít různé typy obsahu, takže se nemusí v každém řešení zobrazovat stejné karty.
Může se také zobrazit výzva k zadání přihlašovacích údajů ke službě jiné společnosti než Microsoft, aby se služba Microsoft Sentinel mohla ověřit ve vašich systémech. Například u playbooků můžete chtít provést akce reakce, které jsou v systému předepsané.
Na kartě Revize a vytvoření počkejte na
Validation Passed
zprávu.Výběrem možnosti Vytvořit nebo Aktualizovat nasaďte řešení. Můžete také vybrat šablonu Ke stažení šablony pro automatizaci a nasadit řešení jako kód.
Instalace se závislostmi
Některá řešení mají závislosti k instalaci, včetně mnoha doménových řešení a řešení, která používají sjednocené konektory AMA pro CEF, Syslog nebo vlastní protokoly.
V takových případech vyberte Nainstalovat se závislostmi , abyste zajistili, že jsou nainstalované i požadované datové konektory. Odtud vyberte jednu nebo více závislostí, které chcete nainstalovat spolu s původním řešením. Původní řešení, které jste zvolili k instalaci, je ve výchozím nastavení vždy vybrané.
Pokud už je jedno nebo více řešení závislostí nainstalované, ale obsahuje aktualizace, použijte tlačítko Instalovat/Aktualizovat a nainstalujte a aktualizujte všechna vybraná řešení hromadně. Příklad:
Po instalaci řešení může každý typ obsahu v rámci řešení vyžadovat další kroky ke konfiguraci. Další informace najdete v tématu Povolení položek obsahu v řešení.
Hromadná instalace a aktualizace obsahu
Centrum obsahu podporuje kromě výchozího zobrazení karty také zobrazení seznamu. Výběrem zobrazení seznamu nainstalujte více řešení a samostatného obsahu najednou. Samostatný obsah je automaticky aktuální. Veškerý aktivní nebo vlastní obsah vytvořený na základě řešení nebo samostatného obsahu nainstalovaného z centra obsahu zůstane nedotčený.
Pokud chcete položky nainstalovat nebo aktualizovat hromadně, přejděte do zobrazení seznamu.
Vyhledejte nebo vyfiltrujte obsah, který chcete hromadně nainstalovat nebo aktualizovat.
Zaškrtněte políčko pro každé řešení nebo samostatný obsah, který chcete nainstalovat nebo aktualizovat.
Vyberte tlačítko Instalovat/Aktualizovat.
Pokud jste vybrali řešení nebo samostatný obsah, který jste už nainstalovali nebo aktualizovali, neproběhne žádná akce s danou položkou. Nenaruší aktualizaci a instalaci ostatních položek.
Vyberte Spravovat pro každé nainstalované řešení. Typy obsahu v rámci řešení můžou vyžadovat další informace, které můžete nakonfigurovat. Další informace najdete v tématu Povolení položek obsahu v řešení.
Povolení položek obsahu v řešení
Centrálně spravujte položky obsahu pro nainstalovaná řešení z centra obsahu.
V centru obsahu vyberte nainstalované řešení, ve kterém je verze 2.0.0 nebo vyšší.
Na stránce s podrobnostmi řešení vyberte Spravovat.
Zkontrolujte seznam položek obsahu.
Začněte výběrem položky obsahu.
Správa jednotlivých typů obsahu
V následujících částech najdete několik tipů, jak při správě řešení pracovat s různými typy obsahu.
Datový konektor
Pokud chcete připojit datový konektor, dokončete kroky konfigurace.
Vyberte Otevřít stránku konektoru.
Dokončete kroky konfigurace datového konektoru.
Po nakonfigurování datového konektoru a protokolů se stav změní na Připojeno.
Analytické pravidlo
Vytvořte pravidlo ze šablony nebo upravte existující pravidlo.
Zobrazte šablonu v galerii analytických šablon.
Pokud se šablona ještě nepoužívá, vyberte Otevřít>pravidlo vytvořit a podle pokynů povolte analytické pravidlo.
Po vytvoření pravidla se počet aktivních pravidel vytvořených ze šablony zobrazí ve sloupci Vytvořený obsah .
Vyberte odkaz aktivních pravidel a upravte existující pravidlo. Například odkaz aktivního pravidla na následujícím obrázku je pod obsahem vytvořeným a zobrazuje 2 položky.
Dotaz proaktivního vyhledávání
Spusťte zadaný dotaz proaktivního vyhledávání nebo ho přizpůsobte.
Pokud chcete začít hledat hned, vyberte Spustit dotaz ze stránky podrobností, kde najdete rychlé výsledky.
Pokud chcete přizpůsobit dotaz proaktivního vyhledávání, vyberte odkaz ve sloupci Název obsahu.
V galerii proaktivního vyhledávání můžete vytvořit klon šablony dotazu proaktivního vyhledávání jen pro čtení tak, že přejdete do nabídky se třemi tečkami. Dotazy proaktivního vyhledávání vytvořené tímto způsobem se zobrazují jako položky ve sloupci obsahu vytvořeném centrem obsahu .
sešit
Pokud chcete přizpůsobit sešit vytvořený ze šablony, vytvořte instanci sešitu.
Výběrem možnosti Zobrazit šablonu otevřete sešit a zobrazte vizualizace.
Výběrem možnosti Uložit vytvořte instanci šablony sešitu.
Pokud chcete zobrazit uložený přizpůsobitelný sešit, vyberte Zobrazit uložený sešit.
V centru obsahu vyberte odkaz na 1 položku ve sloupci Vytvořený obsah pro správu sešitu.
Syntaktický analyzátor
Při instalaci řešení se všechny zahrnuté analyzátory přidají jako funkce pracovního prostoru v Log Analytics.
Výběrem možnosti Načíst kód funkce otevřete Log Analytics a zobrazte nebo spusťte kód funkce.
Výběrem možnosti Použít v editoru otevřete Log Analytics s názvem analyzátoru připraveným k přidání do vlastního dotazu.
Playbook
Vytvoření playbooku ze šablony
Vyberte odkaz Na název obsahu playbooku.
Zvolte šablonu a vyberte Vytvořit playbook.
Po vytvoření playbooku se aktivní playbook zobrazí ve sloupci Vytvořený obsah .
Pokud chcete playbook spravovat, vyberte aktivní odkaz na položku playbooku 1.
Vyhledání modelu podpory pro váš obsah
Každé řešení a samostatná položka obsahu vysvětlují svůj model podpory v podokně podrobností v poli Podpora , kde je uvedený název Microsoftu nebo partnera. Příklad:
Při kontaktování podpory možná budete potřebovat další podrobnosti o vašem řešení, jako jsou hodnoty vydavatele, poskytovatele a ID plánu. Tyto informace najdete na stránce s podrobnostmi na kartě Informace o využití a podpora .
Další kroky
V tomto dokumentu jste zjistili, jak najít a nasadit integrovaná řešení a samostatný obsah pro Microsoft Sentinel.
- Přečtěte si další informace o řešeních Microsoft Sentinelu.
- Podívejte se na úplný katalog řešení Microsoft Sentinel na Azure Marketplace.
- Vyhledejte řešení specifická pro doménu v katalogu centra obsahu Služby Microsoft Sentinel.
- Odstraňte nainstalovaný obsah a řešení microsoft Sentinelu.
Mnoho řešení zahrnuje datové konektory, které potřebujete nakonfigurovat, abyste mohli začít ingestovat data do Služby Microsoft Sentinel. Každý datový konektor má vlastní sadu požadavků, které jsou podrobně popsané na stránce datového konektoru v Microsoft Sentinelu.
Další informace najdete v tématu Připojení zdroje dat.