Freigeben über

Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Der Microsoft Sentinel-Inhaltshub ist ein zentraler Ort zum Entdecken und Verwalten sofort einsatzbereiter (integrierter) Inhalte. Dort finden Sie gepackte Lösungen für End-to-End-Produkte nach Domäne oder Branche. Sie haben Zugriff auf die zahlreichen eigenständigen Beiträge, die in unserem GitHub-Repository und auf unseren Featureblättern gehostet werden.

  • Entdecken Sie Lösungen und eigenständige Inhalte mit konsistenten Filterfunktionen basierend auf Status, Inhaltstyp, Unterstützung, Anbieter und Kategorie.

  • Installieren Sie Inhalte in Ihrem Arbeitsbereich alle auf einmal oder einzeln.

  • Zeigen Sie Inhalte in der Listenansicht an, und erkennen Sie schnell, für welche Lösungen Updates vorhanden sind. Aktualisieren Sie alle Lösungen auf einmal. (Eigenständige Inhalte werden automatisch aktualisiert.)

  • Verwalten Sie eine Lösung, um deren Inhaltstypen zu installieren und die neuesten Änderungen abzurufen.

  • Konfigurieren Sie eigenständige Inhalte, um neue aktive Elemente basierend auf der neuesten Vorlage zu erstellen.

Wenn Sie Ihre eigene Lösung erstellen möchten, finden Sie Informationen zur Lösungserstellung und -veröffentlichung im Leitfaden zum Erstellen von Microsoft Sentinel-Lösungen.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Um eigenständige Inhalte oder Lösungen aus dem Inhaltshub installieren, aktualisieren oder löschen zu können, müssen Sie auf Ressourcengruppenebene über die Rolle Microsoft Sentinel-Mitwirkender verfügen.

Weitere Informationen zu anderen Rollen und Berechtigungen, die für Microsoft Sentinel unterstützt werden, finden Sie unter Berechtigungen in Microsoft Sentinel.

Inhalt ermitteln

Der Inhaltshub ist die beste Methode, um neue Inhalte zu finden oder Ihre bereits installierten Lösungen zu verwalten.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltung die Option Inhaltshub aus.
    Wählen Sie für Microsoft Sentinel im Defenderportal die Option Microsoft Sentinel>Content Management> Inhaltshub.

    Auf der Seite Inhaltshub wird ein durchsuchbares Raster oder eine Liste mit Lösungen und eigenständigen Inhalten angezeigt.

  2. Filtern Sie die angezeigte Liste, indem Sie entweder bestimmte Werte aus den Filtern auswählen oder einen beliebigen Teil eines Inhaltsnamens oder einer Beschreibung in das Feld Suchen eingeben.

    Weitere Informationen finden Sie unter Kategorien für vorkonfigurierte Microsoft Sentinel-Inhalte und -Lösungen.

  3. Wählen Sie die Kartenansicht aus, um weitere Informationen zu einer Lösung anzuzeigen.

    Für jedes der Inhaltselemente werden die entsprechenden Kategorien und für Lösungen die enthaltenen Inhaltstypen angezeigt. In der folgenden Abbildung wird beispielsweise für die Lösung Cisco Umbrella eine der Kategorien als Sicherheit - Cloudsicherheit angezeigt, und es ist zu sehen, dass sie einen Datenconnector, Analyseregeln, Hunting-Abfragen, Playbooks und mehr umfasst.

Installieren oder Aktualisieren von Inhalten

Eigenständige Inhalte und Lösungen können einzeln oder gemeinsam per Massenvorgang installiert werden. Weitere Informationen zu Massenvorgängen finden Sie im nächsten Abschnitt unter Installieren und Aktualisieren von Inhalten per Massenvorgang.

Wenn eine von Ihnen bereitgestellte Lösung seit der letzten Bereitstellung aktualisiert wurde, enthält die Statusspalte in der Listenansicht den Wert Update. Die Lösung ist auch in der Anzahl enthalten, die am oberen Rand der Seite unter Updates angegeben ist.

Hier sehen Sie ein Beispiel für die Installation einer einzelnen Lösung:

  1. Suchen Sie im Inhaltshub nach der Lösung, und wählen Sie sie aus.

  2. Wählen Sie rechts unten im Detailbereich der Lösungen die Option Details anzeigen aus.

  3. Wählen Sie Erstellen oder Aktualisieren aus.

  4. Geben Sie auf der Registerkarte Grundlagen das Abonnement, die Ressourcengruppe und den Arbeitsbereich ein, um die Lösung bereitzustellen. Beispiel:

    Screenshot eines Lösungsinstallationsassistenten mit der Registerkarte Grundlagen.

  5. Wählen Sie Weiter aus, um die restlichen Registerkarten zu durchlaufen und sich über die einzelnen Inhaltskomponenten zu informieren (und sie in bestimmten Fällen zu konfigurieren).

    Die Registerkarten entsprechen den Inhalten, die von der Lösung angeboten werden. Verschiedene Lösungen können unterschiedliche Arten von Inhalten enthalten, sodass unter Umständen nicht in jeder Lösung die gleichen Registerkarten angezeigt werden.

    Sie werden möglicherweise auch aufgefordert, Anmeldeinformationen für einen Nicht-Microsoft-Dienst einzugeben, damit Microsoft Sentinel sich bei Ihren Systemen authentifizieren kann. Bei Playbooks können Sie beispielsweise ggf. erforderliche Antwortaktionen für Ihr System ausführen.

  6. Warten Sie auf der Registerkarte Überprüfen + Erstellen, bis die Nachricht Validation Passed angezeigt wird.

  7. Wählen Sie Erstellen oder Aktualisieren aus, um die Lösung bereitzustellen. Sie können auch den Link Vorlage für Automatisierung herunterladen auswählen, um die Lösung als Code bereitzustellen.

Installieren mit Abhängigkeiten

Einige Lösungen verfügen über Abhängigkeiten für die Installation, einschließlich vieler Domänenlösungen und Lösungen, die die einheitlichen AMA-Connectors für CEF, Syslog oder benutzerdefinierte Protokolle verwenden.

Wählen Sie in solchen Fällen Mit Abhängigkeiten installieren aus, um sicherzustellen, dass auch die erforderlichen Datenconnectors installiert werden. Wählen Sie dort mindestens eine Abhängigkeit aus, um sie zusammen mit der ursprünglichen Lösung zu installieren. Die Lösung, die Sie eigentlich installieren möchten, ist standardmäßig immer ausgewählt.

Wenn mindestens eine der Lösungsabhängigkeiten bereits installiert ist, aber ein Update erfordert, verwenden Sie die Schaltfläche Installieren/Aktualisieren, um alle ausgewählten Lösungen in einem Massenvorgang zu installieren und zu aktualisieren. Zum Beispiel:

Screenshot der Masseninstallation mehrerer Lösungsabhängigkeiten

Nach der Installation einer Lösung erfordert jeder Inhaltstyp in der Lösung möglicherweise weitere Konfigurationsschritte. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.

Installieren und Aktualisieren von Inhalten per Massenvorgang

Der Inhaltshub unterstützt eine Listenansicht zusätzlich zur Standardkartenansicht. Wählen Sie die Listenansicht aus, um mehrere Lösungen und eigenständige Inhalte gleichzeitig zu installieren. Eigenständige Inhalte werden automatisch auf dem neuesten Stand gehalten. Aktive oder benutzerdefinierte Inhalte, die auf der Grundlage von über den Content Hub installierten Lösungen oder eigenständigen Inhalten erstellt wurden, bleiben unverändert.

  1. Wenn Sie Elemente per Massenvorgang installieren und/oder aktualisieren möchten, wechseln Sie zur Listenansicht.

  2. Suchen oder filtern Sie nach den Inhalten, die Sie per Massenvorgang installieren oder aktualisieren möchten.

  3. Aktivieren Sie die Kontrollkästchen aller Lösungen oder eigenständigen Inhalte, die Sie installieren oder aktualisieren möchten.

  4. Wählen Sie die Schaltfläche Installieren/Aktualisieren aus. Screenshot der Listenansicht für Lösungen mit mehreren ausgewählten und für die Installation ausgeführten Lösungen.

    Wenn eine ausgewählte Lösung oder ein eigenständiger Inhalt bereits installiert oder aktualisiert wurde, wird keine Aktion für dieses Element ausgeführt. Die Aktualisierung oder Installation der anderen Elemente bleibt davon unberührt.

  5. Wählen Sie für jede Lösung, die Sie installiert haben, die Option Verwalten aus. Für Inhaltstypen innerhalb der Lösung müssen ggf. weitere Informationen konfiguriert werden. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.

Aktivieren von Inhaltselementen in einer Lösung

Verwalten Sie Inhaltselemente für installierte Lösungen zentral über den Inhaltshub.

  1. Wählen Sie im Inhaltshub eine installierte Lösung der Version 2.0.0 oder höher aus.

  2. Wählen Sie auf der Seite mit den Lösungsdetails die Option Verwalten aus.

    Screenshot der Schaltfläche „Verwalten“ auf der Detailseite der Azure Activity-Inhaltshub-Lösung.

  3. Überprüfen Sie die Liste der Inhaltselemente.

    Screenshot der Lösungsbeschreibung und Liste der Inhaltselemente für die Azure Activity-Lösung.

  4. Wählen Sie ein Inhaltselement aus, um zu beginnen.

Verwalten der einzelnen Inhaltstypen

In den folgenden Abschnitten finden Sie einige Tipps zur Verwendung der verschiedenen Inhaltstypen im Rahmen der Verwaltung einer Lösung.

Datenconnector

Führen Sie zum Verbinden eines Datenconnectors die Konfigurationsschritte aus.

  1. Wählen Sie Connectorseite öffnen aus.

  2. Führen Sie die Konfigurationsschritte für den Datenconnector aus.

    Screenshot des Datenconnector-Inhaltselements für die Azure Activity-Lösung mit dem Status „Getrennt“.

    Nachdem Sie den Datenconnector konfiguriert haben und Protokolle erkannt wurden, ändert sich der Status in Verbunden.

Analyseregel

Erstellen Sie eine Regel auf der Grundlage einer Vorlage, oder bearbeiten Sie eine bereits vorhandene Regel.

  1. Zeigen Sie die Vorlage im Analysevorlagenkatalog an.

  2. Wenn die Vorlage noch nicht verwendet wird, wählen Sie Öffnen>Regel erstellen aus, und führen Sie die Schritte zum Aktivieren der Analyseregel aus.

    Nach der Erstellung einer Regel wird die Anzahl der aktiven Regeln, die auf der Grundlage der Vorlage erstellt wurden, in der Spalte Erstellter Inhalt angezeigt.

  3. Wählen Sie den Link für die aktiven Regeln aus, um die vorhandene Regel zu bearbeiten. In der folgenden Abbildung befindet sich der Link der aktiven Regel beispielsweise unter Erstellter Inhalt und zeigt 2 Elemente an.

    Screenshot des Inhaltselements der Analyseregel in der Lösung für Azure Activity.

Hunting-Abfrage

Führen Sie die bereitgestellte Hunting-Abfrage aus, oder passen Sie sie an.

  1. Um sofort mit der Suche zu beginnen, wählen Sie für schnelle Ergebnisse auf der Detailseite Abfrage ausführen aus.

    Screenshot des Inhaltselements für geklonte Suchabfragen in der Lösung für Azure Activity.

  2. Wählen Sie zum Anpassen Ihrer Hunting-Abfrage den Link in der Spalte Inhaltsname aus.

    Im Hunting-Katalog können Sie über das Menü mit den Auslassungspunkten einen Klon der schreibgeschützten Hunting-Abfragevorlage erstellen. Auf diese Weise erstellte Hunting-Abfragen werden als Elemente in der Spalte Erstellter Inhalt des Inhaltshubs angezeigt.

Arbeitsmappe

Erstellen Sie zum Anpassen einer Arbeitsmappe, die auf der Grundlage einer Vorlage erstellt wurde, eine Instanz einer Arbeitsmappe.

  1. Wählen Sie Vorlage anzeigen aus, um die Arbeitsmappe zu öffnen und die Visualisierungen anzuzeigen.

  2. Wählen Sie Speichern aus, um eine Instanz der Arbeitsmappenvorlage zu erstellen.

  3. Zeigen Sie Ihre gespeicherte anpassbare Arbeitsmappe an, indem Sie Gespeicherte Arbeitsmappe anzeigen auswählen.

  4. Wählen Sie im Inhaltshub den Link 1 Element in der Spalte Erstellter Inhalt aus, um die Arbeitsmappe zu verwalten.

    Screenshot des gespeicherten Arbeitsmappenelements in Lösung für Azure Activity.

Parser

Bei der Installation einer Lösung werden alle darin enthaltenen Parser als Arbeitsbereichsfunktionen in Log Analytics hinzugefügt.

  1. Wählen Sie Funktionscode laden aus, um Log Analytics zu öffnen und den Funktionscode anzuzeigen oder auszuführen.

  2. Wählen Sie Im Editor verwenden aus, um Log Analytics mit dem Parsernamen zu öffnen, der Ihrer benutzerdefinierten Abfrage hinzugefügt werden kann.

    Screenshot des Parser-Inhaltstyps in einer Lösung.

Playbook

Erstellen Sie ein Playbook auf der Grundlage einer Vorlage.

  1. Wählen Sie den unter Inhaltsname bereitgestellten Link des Playbooks aus.

  2. Wählen Sie die Vorlage und anschließend die Option Playbook erstellen aus.

  3. Nach der Erstellung des Playbooks wird das aktive Playbook in der Spalte Erstellter Inhalt angezeigt.

  4. Wählen Sie den Link 1 Element des aktiven Playbooks aus, um das Playbook zu verwalten.

    Screenshot des Inhaltstyps des Playbook-Typs in einer Lösung.

Ermitteln des Supportmodells für Ihren Inhalt

Jede Lösung und jedes eigenständige Inhaltselement erläutert ihr bzw. sein Supportmodell im Detailbereich im Feld Support. Dort ist entweder Microsoft oder der Name eines Partners angegeben. Beispiel:

Screenshot: Wo können Sie Ihr Supportmodell für Ihre Lösung finden.

Wenn Sie sich an den Support wenden, benötigen Sie möglicherweise weitere Details zu Ihrer Lösung, z. B. Werte für Herausgeber, Anbieter und Plan-ID. Diese Informationen finden Sie auf der Detailseite auf der Registerkarte Nutzungsinformationen und Support.

Screenshot: Nutzungs- und Supportdetails für eine Lösung.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie integrierte Lösungen und eigenständige Inhalte für Microsoft Sentinel finden und bereitstellen.

Viele Lösungen umfassen Datenconnectors, die Sie konfigurieren müssen, damit Sie Ihre Daten in Microsoft Sentinel erfassen können. Für jeden Datenconnector gelten eigene Anforderungen, die auf der Datenconnectorseite in Microsoft Sentinel ausführlich beschrieben werden.

Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einer Datenquelle.