Cambios de centralización de contenido listo para usar de Microsoft Sentinel
El centro de contenido de Microsoft Sentinel permite el descubrimiento y la instalación bajo demanda de contenido y soluciones listas para usar (OOTB) en un solo paso. Anteriormente, parte de este contenido OOTB solo existía en varias secciones de la galería de Microsoft Sentinel. Ahora, todas las siguientes plantillas de contenido de la galería están disponibles en el centro de contenido como elementos independientes o como parte de soluciones empaquetadas:
- Conectores de datos
- Plantillas de regla de Analytics
- Consultas de búsqueda
- Plantillas de cuadernos de estrategias
- Plantillas de libro
Cambios en el centro de contenido
Para centralizar todo el contenido listo para usar, se han retirado las plantillas de contenido de solo galería. Las plantillas de contenido de la galería heredada ya no se actualizan constantemente, y el centro de contenido es donde el contenido OOTB se mantiene actualizado. El centro de contenido también proporciona flujos de trabajo actualizados para soluciones y actualizaciones automáticas para contenido independiente.
Para facilitar esta transición, hemos publicado una herramienta central para restablecer las plantillas retiradas EN USO de las soluciones de centro de contenido correspondientes.
Restablecimiento de plantillas retiradas EN USO con la herramienta central
Ahora que los cambios de centralización del centro de contenido están completos, aquí se ofrece información general sobre cómo completar el proceso de restablecimiento de la herramienta central.
Seleccione el vínculo en el banner de advertencia para restablecer las plantillas de contenido retiradas y solo de la galería EN USO.
En esta captura de pantalla, se muestra un ejemplo del banner de advertencia que se encuentra en la galería Libros.
Seleccione el vínculo y lea cuidadosamente la página.
Seleccione Continuar y revise la lista de contenido que genera la herramienta.
Seleccione Completar centralización para iniciar la instalación. La selección es fija y no se puede modificar.
Cambio de página del conector de datos
Todos los conectores de datos ahora forman parte de una solución. Anteriormente, para promover visualizaciones de paneles (ahora denominados libros) y proporcionar consultas KQL de ejemplo, se incluían algunos de estos elementos en la pestaña Pasos siguientes de la página del conector de datos. La sección Pasos siguientes de la página del conector de datos está en desuso en favor de la nueva solución de comportamiento de contenido en la que todos los componentes de la solución se administran junto con el conector de datos.
La clave para experimentar el comportamiento actualizado es comenzar en el Centro de contenido. Para obtener una comparación del comportamiento anterior con la nueva experiencia, examine el conector de datos de Actividad de Azure. Después de instalar la solución desde el centro de contenido y seleccionar Administrar, toda la solución estará disponible para su inspección. Si desea una visualización del conector de datos de actividad de Azure, vea la plantilla del libro. Si desea ver las consultas KQL, comience con la tabla de datos. Para consultas avanzadas, busque las reglas de análisis y las consultas de búsqueda.
Para obtener más información sobre la nueva solución de comportamiento de contenido, consulte Detección e implementación del contenido OOTB.
Si está buscando una consulta de ejemplo determinada para un conector de datos de terceros, siguen estando publicadas en el índice de Todos los conectores. Por ejemplo, estas son las consultas de ejemplo para el conector Jamf Protect.
Cambios en GitHub de Microsoft Sentinel
Microsoft Sentinel tiene un repositorio de GitHub oficial para las contribuciones de la comunidad examinadas por Microsoft y la comunidad. Es el origen de la mayoría de los elementos de contenido del centro de contenido.
Para el descubrimiento consistente de este contenido, los cambios de centralización de contenido OOTB ya se han extendido al repositorio de Microsoft Sentinel GitHub:
- Todo el contenido OOTB empaquetado desde las soluciones del centro de contenido ahora se almacena en la Carpeta soluciones del repositorio de GitHub.
- Todos los elementos de contenido OOTB independientes permanecerán en sus respectivas ubicaciones.
Estos cambios en el centro de contenido y el repositorio GitHub de Microsoft Sentinel completarán el recorrido hacia la centralización del contenido de Microsoft Sentinel.
¿Cuándo se producirá este cambio?
Se han publicado los cambios de centralización. Los cambios de Microsoft Sentinel GitHub ya han ocurrido. El contenido independiente está disponible en las carpetas de GitHub existentes y el contenido de la solución se ha movido a la carpeta Soluciones.
El cambio a la pestaña Pasos siguientes ya se ha completado.
Ámbito de cambio
Este cambio se aplica solo al tipo de contenido de la galería de plantillas. Todas estas mismas plantillas y más contenido OOTB están disponibles en el centro de contenido como soluciones o contenido independiente.
Para el repositorio de GitHub de Microsoft Sentinel, el contenido OOTB empaquetado en soluciones en el centro de contenido ahora aparece solo en la carpeta Soluciones del repositorio de GitHub. El otro contenido de GitHub existente se limita a las siguientes carpetas y contiene solo elementos de contenido independientes. El contenido de las carpetas restantes de GitHub que no se mencionan en esta lista no tiene ningún cambio.
- Carpeta DataConnectors
- Carpeta de detecciones (reglas de análisis)
- Carpeta consultas de búsqueda
- Carpeta Analizadores
- Carpeta Cuadernos de estrategias
- Carpeta Libros
¿Qué no va a cambiar?
Este cambio no afecta a los elementos activos o personalizados (creados a partir de plantillas o de otro modo). En concreto, este cambio no afecta a los siguientes elementos:
- Conectores de datos con Estado = Conectado.
- Reglas de alerta o detecciones (habilitadas o deshabilitadas) en la pestaña Reglas activas en la galería de análisis.
- Libros guardados en la pestaña Mis libros de la galería de libros.
- Contenido clonado o Origen de contenido = Personalizado en la galería de búsqueda.
- Cuadernos de estrategias activos (habilitados o deshabilitados) en la pestaña Cuadernos de estrategias activos de la galería de automatización.
Este cambio tampoco afecta a ninguna plantilla de contenido OOTB instalada desde el centro de contenido (identificable como Origen de contenido = Centro de contenido).
¿Qué está cambiando?
Todas las galerías de plantillas ahora muestran un banner de advertencia en el producto. Este banner contiene un vínculo a una herramienta que se ejecutará en el portal de Microsoft Sentinel. Al activar la herramienta, se inicia una experiencia guiada para restablecer las plantillas de contenido para las plantillas retiradas EN USO del centro de contenido.
Esta herramienta debe ejecutarse solo una vez por área de trabajo, así que asegúrate de planificar con tu organización. Después de que la herramienta se ejecute correctamente, el banner de advertencia desaparecerá de las galerías de plantillas de esa área de trabajo.
En la tabla siguiente se enumeran los impactos específicos de las plantillas de contenido para cada una de estas galerías. Espere estos cambios ahora que la centralización del contenido listo para usar está en funcionamiento.
Tipo de contenido | Impacto |
---|---|
Conectores de datos | Las plantillas identificables como Origen del contenido = Contenido de la galería y Estado = No conectado ya no aparecerán en la galería de conectores de datos. |
Analytics | Las plantillas identificables como Nombre del origen = Contenido de la galería ya no aparecerán en la galería de análisis. |
Búsqueda | Las plantillas con Origen del contenido = Contenido de la galería no aparecerá en la galería de búsqueda. |
Playbooks | Las plantillas identificables como Nombre del origen = Contenido de la galería ya no aparecerá en la galería del cuaderno de estrategias de automatización. |
Libros | Las plantillas con Origen del contenido = Contenido de la galería no aparecerá en la galería del cuaderno de estrategias. |
Este es un ejemplo de una regla de análisis antes y después de los cambios de centralización y la ejecución de la herramienta:
La regla de análisis activa no cambiará en absoluto. Se basa en una plantilla de regla de análisis que se retirará.
Esta captura de pantalla muestra una plantilla de regla de análisis que se retirará.
Después de ejecutar la herramienta para restablecer la plantilla de regla de análisis, el origen cambia a la solución desde la que se restableció.
Se requiere acción
- Instale nuevo contenido listo para usar desde el centro de contenido y actualice las soluciones según sea necesario para tener las últimas versiones de las plantillas.
- Para las plantillas de contenido de galería existentes en uso, obtén actualizaciones futuras instalando las soluciones o elementos de contenido independientes desde el centro de contenido. El contenido de la galería en las galerías de funciones puede estar desactualizado.
- Si tiene aplicaciones o procesos que obtienen directamente contenido OOTB del repositorio de GitHub de Microsoft Sentinel, actualice las ubicaciones para incluir la obtención de contenido OOTB de la carpeta Soluciones además de las carpetas de contenido existentes.
- Planee con su organización quién ejecutará la herramienta y cuándo, ahora que el banner de advertencia y los cambios están activos. La herramienta debe ejecutarse una vez en un área de trabajo para restablecer todas las plantillas retiradas EN USO del centro de contenido.
- Revisa las siguientes Preguntas frecuentes para conocer más detalles que podrían aplicarse a tu entorno.
Preguntas más frecuentes sobre la centralización de contenido
¿Afectará este cambio a la generación de alertas SOC o a la generación y administración de incidentes?
No. No hay impacto en las reglas o detecciones de alertas activas, cuadernos de estrategias activos, consultas de búsqueda clonadas o libros guardados. El cambio de centralización de contenido OOTB no afectará a los procesos actuales de generación y administración de incidentes.
¿Hay alguna excepción para el contenido de la galería?
Sí. Los siguientes tipos de plantillas de regla de análisis están exentos de este cambio:
- Plantillas de regla de anomalías
- Plantillas de regla de Fusion
- Plantillas de reglas de Análisis de comportamiento de ML (aprendizaje automático)
- Plantillas de regla de seguridad de Microsoft (creación de incidentes)
- Plantillas de reglas de inteligencia de amenazas
¿Afectará este cambio a cualquiera de las API?
Sí. Actualmente, las únicas llamadas a la API de REST de Microsoft Sentinel que existen para la administración de plantillas de contenido son las operaciones Get
y List
para las plantillas de regla de alertas. Estas operaciones solo exponen plantillas de contenido de la galería y no se actualizarán. Para obtener más información sobre estas operaciones, consulta la referencia actual de la API de REST de las plantillas de regla de alerta.
Las nuevas operaciones de la API de REST en el centro de contenido estarán disponibles pronto para permitir escenarios de administración de contenido OOTB de manera más amplia. Esta actualización de la API incluirá operaciones para los mismos tipos de contenido incluidos en los cambios de centralización (conectores de datos, plantillas de cuaderno de estrategias, plantillas de cuadernos de libros, plantillas de regla de análisis, consultas de búsqueda). Un mecanismo para actualizar las plantillas de regla de análisis instaladas en el área de trabajo también está en la hoja de ruta.
Acción necesaria: Planifique la actualización de las aplicaciones y procesos para usar las nuevas operaciones de la API de administración de contenido listo para usar en el centro de contenido cuando estén disponibles. Al principio expresamos que esto estaría disponible en el segundo trimestre 2023, pero aún no lo está.
¿Cómo identificará la herramienta central mis plantillas de contenidos OOTB en uso?
La herramienta crea una lista de soluciones en función de dos criterios: conectores de datos con Estado = Conectado y plantillas de cuaderno de estrategias EN USO. Una vez que la herramienta compila la lista propuesta de soluciones, presentará la lista para su aprobación. Si se aprueba la lista, la herramienta instala todas esas soluciones. Debido a que el contenido de OOTB se restablece en función de las soluciones, es posible que obtengas más plantillas de las que realmente usas.
Esta herramienta central es un mejor esfuerzo para que sus plantillas de contenido OOTB EN USO se restablezcan desde el centro de contenido. Puedes instalar contenido OOTB omitido directamente desde el centro de contenido.
¿Qué ocurre si utilizo API para conectar orígenes de datos en mi área de trabajo de Microsoft Sentinel?
Actualmente, si una conexión de datos de API coincide con el tipo de datos del conector de datos, aparecerá como Estado = Conectado en la galería de conectores de datos. Tras la puesta en marcha de los cambios de centralización, es necesario instalar el conector de datos específico desde una solución respectiva para obtener el mismo comportamiento.
Acción necesaria: planifica actualizar los procesos o las herramientas para que las implementaciones de tu conector de datos se instalen desde las soluciones del centro de contenido antes de conectarse con las API de ingesta de datos. El operador de API de REST para instalar una solución llegará en el segundo trimestre de 2023 con las API de administración de contenido OOTB.
¿Qué sucede si estoy trabajando con contenido mediante la función de repositorios en Microsoft Sentinel?
Los repositorios implementan específicamente contenido personalizado o activo en Microsoft Sentinel. Los cambios de centralización de contenido OOTB no afectarán el contenido que se implementa a través de la función de repositorios.
¿Esto afecta a los grupos de implementación en el administrador del área de trabajo?
Al igual que los repositorios, el administrador del área de trabajo solo implementa contenido personalizado o activo, por lo que los cambios de centralización del contenido listo para usar no afectarán al contenido implementado a través del administrador del área de trabajo.
Pasos siguientes
Échale un vistazo a estos otros recursos para contenido OOTB y el centro de contenido: