Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte
Der Microsoft Sentinel-Inhaltshub ist ein zentraler Ort zum Entdecken und Verwalten sofort einsatzbereiter (integrierter) Inhalte. Dort finden Sie gepackte Lösungen für End-to-End-Produkte nach Domäne oder Branche. Sie haben Zugriff auf die zahlreichen eigenständigen Beiträge, die in unserem GitHub-Repository und auf unseren Featureblättern gehostet werden.
Entdecken Sie Lösungen und eigenständige Inhalte mit konsistenten Filterfunktionen basierend auf Status, Inhaltstyp, Unterstützung, Anbieter und Kategorie.
Installieren Sie Inhalte in Ihrem Arbeitsbereich alle auf einmal oder einzeln.
Zeigen Sie Inhalte in der Listenansicht an, und erkennen Sie schnell, für welche Lösungen Updates vorhanden sind. Aktualisieren Sie alle Lösungen auf einmal. (Eigenständige Inhalte werden automatisch aktualisiert.)
Verwalten Sie eine Lösung, um deren Inhaltstypen zu installieren und die neuesten Änderungen abzurufen.
Konfigurieren Sie eigenständige Inhalte, um neue aktive Elemente basierend auf der neuesten Vorlage zu erstellen.
Wenn Sie Ihre eigene Lösung erstellen möchten, finden Sie Informationen zur Lösungserstellung und -veröffentlichung im Leitfaden zum Erstellen von Microsoft Sentinel-Lösungen.
Wichtig
Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Voraussetzungen
Um eigenständige Inhalte oder Lösungen aus dem Inhaltshub installieren, aktualisieren oder löschen zu können, müssen Sie auf Ressourcengruppenebene über die Rolle Microsoft Sentinel-Mitwirkender verfügen.
Weitere Informationen zu anderen Rollen und Berechtigungen, die für Microsoft Sentinel unterstützt werden, finden Sie unter Berechtigungen in Microsoft Sentinel.
Inhalt ermitteln
Der Inhaltshub ist die beste Methode, um neue Inhalte zu finden oder Ihre bereits installierten Lösungen zu verwalten.
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltung die Option Inhaltshub aus.
Wählen Sie für Microsoft Sentinel im Defenderportal die Option Microsoft Sentinel>Content Management> Inhaltshub.Auf der Seite Inhaltshub wird ein durchsuchbares Raster oder eine Liste mit Lösungen und eigenständigen Inhalten angezeigt.
Filtern Sie die angezeigte Liste, indem Sie entweder bestimmte Werte aus den Filtern auswählen oder einen beliebigen Teil eines Inhaltsnamens oder einer Beschreibung in das Feld Suchen eingeben.
Weitere Informationen finden Sie unter Kategorien für vorkonfigurierte Microsoft Sentinel-Inhalte und -Lösungen.
Wählen Sie die Kartenansicht aus, um weitere Informationen zu einer Lösung anzuzeigen.
Für jedes der Inhaltselemente werden die entsprechenden Kategorien und für Lösungen die enthaltenen Inhaltstypen angezeigt. In der folgenden Abbildung wird beispielsweise für die Lösung Cisco Umbrella eine der Kategorien als Sicherheit - Cloudsicherheit angezeigt, und es ist zu sehen, dass sie einen Datenconnector, Analyseregeln, Hunting-Abfragen, Playbooks und mehr umfasst.
Installieren oder Aktualisieren von Inhalten
Eigenständige Inhalte und Lösungen können einzeln oder gemeinsam per Massenvorgang installiert werden. Weitere Informationen zu Massenvorgängen finden Sie im nächsten Abschnitt unter Installieren und Aktualisieren von Inhalten per Massenvorgang.
Wenn eine von Ihnen bereitgestellte Lösung seit der letzten Bereitstellung aktualisiert wurde, enthält die Statusspalte in der Listenansicht den Wert Update. Die Lösung ist auch in der Anzahl enthalten, die am oberen Rand der Seite unter Updates angegeben ist.
Hier sehen Sie ein Beispiel für die Installation einer einzelnen Lösung:
Suchen Sie im Inhaltshub nach der Lösung, und wählen Sie sie aus.
Wählen Sie rechts unten im Detailbereich der Lösungen die Option Details anzeigen aus.
Wählen Sie Erstellen oder Aktualisieren aus.
Geben Sie auf der Registerkarte Grundlagen das Abonnement, die Ressourcengruppe und den Arbeitsbereich ein, um die Lösung bereitzustellen. Beispiel:
Wählen Sie Weiter aus, um die restlichen Registerkarten zu durchlaufen und sich über die einzelnen Inhaltskomponenten zu informieren (und sie in bestimmten Fällen zu konfigurieren).
Die Registerkarten entsprechen den Inhalten, die von der Lösung angeboten werden. Verschiedene Lösungen können unterschiedliche Arten von Inhalten enthalten, sodass unter Umständen nicht in jeder Lösung die gleichen Registerkarten angezeigt werden.
Sie werden möglicherweise auch aufgefordert, Anmeldeinformationen für einen Nicht-Microsoft-Dienst einzugeben, damit Microsoft Sentinel sich bei Ihren Systemen authentifizieren kann. Bei Playbooks können Sie beispielsweise ggf. erforderliche Antwortaktionen für Ihr System ausführen.
Warten Sie auf der Registerkarte Überprüfen + Erstellen, bis die Nachricht
Validation Passed
angezeigt wird.Wählen Sie Erstellen oder Aktualisieren aus, um die Lösung bereitzustellen. Sie können auch den Link Vorlage für Automatisierung herunterladen auswählen, um die Lösung als Code bereitzustellen.
Installieren mit Abhängigkeiten
Einige Lösungen verfügen über Abhängigkeiten für die Installation, einschließlich vieler Domänenlösungen und Lösungen, die die einheitlichen AMA-Connectors für CEF, Syslog oder benutzerdefinierte Protokolle verwenden.
Wählen Sie in solchen Fällen Mit Abhängigkeiten installieren aus, um sicherzustellen, dass auch die erforderlichen Datenconnectors installiert werden. Wählen Sie dort mindestens eine Abhängigkeit aus, um sie zusammen mit der ursprünglichen Lösung zu installieren. Die Lösung, die Sie eigentlich installieren möchten, ist standardmäßig immer ausgewählt.
Wenn mindestens eine der Lösungsabhängigkeiten bereits installiert ist, aber ein Update erfordert, verwenden Sie die Schaltfläche Installieren/Aktualisieren, um alle ausgewählten Lösungen in einem Massenvorgang zu installieren und zu aktualisieren. Zum Beispiel:
Nach der Installation einer Lösung erfordert jeder Inhaltstyp in der Lösung möglicherweise weitere Konfigurationsschritte. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.
Installieren und Aktualisieren von Inhalten per Massenvorgang
Der Inhaltshub unterstützt eine Listenansicht zusätzlich zur Standardkartenansicht. Wählen Sie die Listenansicht aus, um mehrere Lösungen und eigenständige Inhalte gleichzeitig zu installieren. Eigenständige Inhalte werden automatisch auf dem neuesten Stand gehalten. Aktive oder benutzerdefinierte Inhalte, die auf der Grundlage von über den Content Hub installierten Lösungen oder eigenständigen Inhalten erstellt wurden, bleiben unverändert.
Wenn Sie Elemente per Massenvorgang installieren und/oder aktualisieren möchten, wechseln Sie zur Listenansicht.
Suchen oder filtern Sie nach den Inhalten, die Sie per Massenvorgang installieren oder aktualisieren möchten.
Aktivieren Sie die Kontrollkästchen aller Lösungen oder eigenständigen Inhalte, die Sie installieren oder aktualisieren möchten.
Wählen Sie die Schaltfläche Installieren/Aktualisieren aus.
Wenn eine ausgewählte Lösung oder ein eigenständiger Inhalt bereits installiert oder aktualisiert wurde, wird keine Aktion für dieses Element ausgeführt. Die Aktualisierung oder Installation der anderen Elemente bleibt davon unberührt.
Wählen Sie für jede Lösung, die Sie installiert haben, die Option Verwalten aus. Für Inhaltstypen innerhalb der Lösung müssen ggf. weitere Informationen konfiguriert werden. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.
Aktivieren von Inhaltselementen in einer Lösung
Verwalten Sie Inhaltselemente für installierte Lösungen zentral über den Inhaltshub.
Wählen Sie im Inhaltshub eine installierte Lösung der Version 2.0.0 oder höher aus.
Wählen Sie auf der Seite mit den Lösungsdetails die Option Verwalten aus.
Überprüfen Sie die Liste der Inhaltselemente.
Wählen Sie ein Inhaltselement aus, um zu beginnen.
Verwalten der einzelnen Inhaltstypen
In den folgenden Abschnitten finden Sie einige Tipps zur Verwendung der verschiedenen Inhaltstypen im Rahmen der Verwaltung einer Lösung.
Datenconnector
Führen Sie zum Verbinden eines Datenconnectors die Konfigurationsschritte aus.
Wählen Sie Connectorseite öffnen aus.
Führen Sie die Konfigurationsschritte für den Datenconnector aus.
Nachdem Sie den Datenconnector konfiguriert haben und Protokolle erkannt wurden, ändert sich der Status in Verbunden.
Analyseregel
Erstellen Sie eine Regel auf der Grundlage einer Vorlage, oder bearbeiten Sie eine bereits vorhandene Regel.
Zeigen Sie die Vorlage im Analysevorlagenkatalog an.
Wenn die Vorlage noch nicht verwendet wird, wählen Sie Öffnen>Regel erstellen aus, und führen Sie die Schritte zum Aktivieren der Analyseregel aus.
Nach der Erstellung einer Regel wird die Anzahl der aktiven Regeln, die auf der Grundlage der Vorlage erstellt wurden, in der Spalte Erstellter Inhalt angezeigt.
Wählen Sie den Link für die aktiven Regeln aus, um die vorhandene Regel zu bearbeiten. In der folgenden Abbildung befindet sich der Link der aktiven Regel beispielsweise unter Erstellter Inhalt und zeigt 2 Elemente an.
Hunting-Abfrage
Führen Sie die bereitgestellte Hunting-Abfrage aus, oder passen Sie sie an.
Um sofort mit der Suche zu beginnen, wählen Sie für schnelle Ergebnisse auf der Detailseite Abfrage ausführen aus.
Wählen Sie zum Anpassen Ihrer Hunting-Abfrage den Link in der Spalte Inhaltsname aus.
Im Hunting-Katalog können Sie über das Menü mit den Auslassungspunkten einen Klon der schreibgeschützten Hunting-Abfragevorlage erstellen. Auf diese Weise erstellte Hunting-Abfragen werden als Elemente in der Spalte Erstellter Inhalt des Inhaltshubs angezeigt.
Arbeitsmappe
Erstellen Sie zum Anpassen einer Arbeitsmappe, die auf der Grundlage einer Vorlage erstellt wurde, eine Instanz einer Arbeitsmappe.
Wählen Sie Vorlage anzeigen aus, um die Arbeitsmappe zu öffnen und die Visualisierungen anzuzeigen.
Wählen Sie Speichern aus, um eine Instanz der Arbeitsmappenvorlage zu erstellen.
Zeigen Sie Ihre gespeicherte anpassbare Arbeitsmappe an, indem Sie Gespeicherte Arbeitsmappe anzeigen auswählen.
Wählen Sie im Inhaltshub den Link 1 Element in der Spalte Erstellter Inhalt aus, um die Arbeitsmappe zu verwalten.
Parser
Bei der Installation einer Lösung werden alle darin enthaltenen Parser als Arbeitsbereichsfunktionen in Log Analytics hinzugefügt.
Wählen Sie Funktionscode laden aus, um Log Analytics zu öffnen und den Funktionscode anzuzeigen oder auszuführen.
Wählen Sie Im Editor verwenden aus, um Log Analytics mit dem Parsernamen zu öffnen, der Ihrer benutzerdefinierten Abfrage hinzugefügt werden kann.
Playbook
Erstellen Sie ein Playbook auf der Grundlage einer Vorlage.
Wählen Sie den unter Inhaltsname bereitgestellten Link des Playbooks aus.
Wählen Sie die Vorlage und anschließend die Option Playbook erstellen aus.
Nach der Erstellung des Playbooks wird das aktive Playbook in der Spalte Erstellter Inhalt angezeigt.
Wählen Sie den Link 1 Element des aktiven Playbooks aus, um das Playbook zu verwalten.
Ermitteln des Supportmodells für Ihren Inhalt
Jede Lösung und jedes eigenständige Inhaltselement erläutert ihr bzw. sein Supportmodell im Detailbereich im Feld Support. Dort ist entweder Microsoft oder der Name eines Partners angegeben. Beispiel:
Wenn Sie sich an den Support wenden, benötigen Sie möglicherweise weitere Details zu Ihrer Lösung, z. B. Werte für Herausgeber, Anbieter und Plan-ID. Diese Informationen finden Sie auf der Detailseite auf der Registerkarte Nutzungsinformationen und Support.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie integrierte Lösungen und eigenständige Inhalte für Microsoft Sentinel finden und bereitstellen.
- Erfahren Sie mehr über Microsoft Sentinel-Lösungen.
- Sehen Sie sich den vollständigen Lösungskatalog von Microsoft Sentinel im Azure Marketplace an.
- Suchen Sie domänenspezifische Lösungen im Inhaltshub-Katalog von Microsoft Sentinel.
- Löschen Sie installierte und sofort verfügbare Microsoft Sentinel-Inhalte und -Lösungen.
Viele Lösungen umfassen Datenconnectors, die Sie konfigurieren müssen, damit Sie Ihre Daten in Microsoft Sentinel erfassen können. Für jeden Datenconnector gelten eigene Anforderungen, die auf der Datenconnectorseite in Microsoft Sentinel ausführlich beschrieben werden.
Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einer Datenquelle.