Delen via

Centralisatiewijzigingen in Microsoft Sentinel out-of-the-box-inhoud

  • Artikel

De Microsoft Sentinel-inhoudshub maakt detectie en installatie op aanvraag mogelijk van kant-en-klare (OOTB)-inhoud en -oplossingen in één stap. Eerder bestonden sommige van deze OOTB-inhoud alleen in verschillende galeriesecties van Microsoft Sentinel. Nu zijn alle volgende galerie-inhoudssjablonen beschikbaar in de inhoudshub als zelfstandige items of als onderdeel van verpakte oplossingen:

  • Gegevensconnectors
  • Sjablonen voor analyseregels
  • Opsporingsquery's
  • Playbooksjablonen
  • Azure-werkmapsjablonen

Wijzigingen in inhoudshub

Als u alle OOTB-inhoud wilt centraliseren, hebben we de inhoudssjablonen met alleen de galerie buiten gebruik gesteld. De verouderde galerie-inhoudssjablonen worden niet langer consistent bijgewerkt en de inhoudshub is waar OOTB-inhoud up-to-date blijft. De inhoudshub biedt ook bijgewerkte werkstromen voor oplossingen en automatische updates voor zelfstandige inhoud.

Om deze overgang te vergemakkelijken, hebben we een centraal hulpprogramma gepubliceerd om in USE buiten gebruik gestelde sjablonen van bijbehorende content hub-oplossingen te herstellen.

In USE buiten gebruik gestelde sjablonen opnieuw drijven met centraal hulpprogramma

Nu de wijzigingen in de centralisatie van de inhoudshub zijn voltooid, ziet u hier een overzicht van het voltooien van het proces voor het opnieuw voltooien van het centrale hulpprogramma.

  1. Selecteer de koppeling in de waarschuwingsbanner om in USE buiten gebruik gestelde inhoudssjablonen alleen in de galerie weer in te stellen.

    In deze schermopname ziet u een voorbeeld van de waarschuwingsbanner in de galerie Werkmappen. Screenshot showing orange warning banner with link to initiate central tool.

  2. Selecteer de koppeling en lees de pagina zorgvuldig.

  3. Selecteer Doorgaan en bekijk de lijst met inhoud die het hulpprogramma genereert.

    Screenshot shows central tool page including details on how to use it.

  4. Selecteer Centralisatie voltooien om de installatie te starten. De selectie is opgelost en kan niet worden gewijzigd.

    Screenshot shows the list of content the tool generates.

Pagina Gegevensconnector wijzigen

Alle gegevensconnectors maken nu deel uit van een oplossing. Voorheen, om dashboardvisualisaties (nu werkmappen genoemd) te promoten en voorbeeldKQL-query's te bieden, hebben we een aantal van deze items opgenomen op het tabblad Volgende stappen van de pagina gegevensconnector. We hebben het gedeelte Volgende stappen van de pagina gegevensconnector afgeschaft ten gunste van het gedrag van de nieuwe oplossingsinhoud , waarbij alle oplossingsonderdelen naast de gegevensconnector worden beheerd.

De sleutel voor het ervaren van het bijgewerkte gedrag is om te beginnen in Content Hub. Bekijk de Azure Activity-gegevensconnector voor een vergelijking van het vorige gedrag met de nieuwe ervaring. Nadat u de oplossing hebt geïnstalleerd vanuit de inhoudshub en Beheren hebt geselecteerd, is de hele oplossing beschikbaar voor inspectie. Als u een visualisatie van de Azure Activity-gegevensconnector wilt, bekijkt u de sjabloon voor de werkmap. Als u KQL-query's wilt zien, begint u met de gegevenstabel. Voor geavanceerde query's bekijkt u de analyseregels en opsporingsquery's.

Zie OOTB-inhoud ontdekken en implementeren voor meer informatie over het gedrag van de nieuwe oplossingsinhoud.

Als er een bepaalde voorbeeldquery is voor een gegevensconnector van derden die u zoekt, publiceren we deze nog steeds in de index Alle connectors . Hier volgen bijvoorbeeld de voorbeeldquery's voor de Jamf Protect-connector.

Wijzigingen in Microsoft Sentinel GitHub

Microsoft Sentinel heeft een officiële GitHub-opslagplaats voor communitybijdragen die zijn gecontroleerd door Microsoft en de community. Dit is de bron voor de meeste inhoudsitems in de inhoudshub.

Voor consistente detectie van deze inhoud zijn de centralisatiewijzigingen van OOTB-inhoud al uitgebreid naar de GitHub-opslagplaats van Microsoft Sentinel:

  • Alle OOTB-inhoud die is verpakt vanuit oplossingen voor inhoudshubs wordt nu opgeslagen in de map Oplossingen van de GitHub-opslagplaats.
  • Alle zelfstandige OOTB-inhoudsitems blijven op hun respectieve locaties staan.

Deze wijzigingen in de inhoudshub en de GitHub-opslagplaats van Microsoft Sentinel voltooien het traject naar het centraliseren van Microsoft Sentinel-inhoud.

Wanneer komt deze wijziging?

De centralisatiewijzigingen zijn vrijgegeven. De Wijzigingen in Microsoft Sentinel GitHub zijn al gebeurd. Zelfstandige inhoud is beschikbaar in bestaande GitHub-mappen en oplossingsinhoud is verplaatst naar de map Oplossingen .

De wijziging in het tabblad Volgende stappen is al voltooid.

Bereik van wijziging

Deze wijziging is alleen beperkt tot het inhoudstype galerie van sjablonen. Al deze sjablonen en meer OOTB-inhoud zijn beschikbaar in de inhoudshub als oplossingen of zelfstandige inhoud.

Voor de Microsoft Sentinel GitHub-opslagplaats wordt OOTB-inhoud die is verpakt in oplossingen in de inhoudshub nu alleen vermeld in de map Oplossingen van de GitHub-opslagplaats. De andere bestaande GitHub-inhoud is gericht op de volgende mappen en bevat alleen zelfstandige inhoudsitems. Inhoud in de resterende GitHub-mappen die niet in deze lijst worden vermeld, heeft geen wijzigingen.

Wat verandert er niet?

Deze wijziging heeft geen invloed op actieve of aangepaste items (gemaakt op basis van sjablonen of anderszins). Deze wijziging heeft met name geen invloed op de volgende items:

  • Gegevensconnectors met status = Verbinding maken ed.
  • Waarschuwingsregels of detecties (ingeschakeld of uitgeschakeld) op het tabblad Actieve regels in de galerie Met analyses.
  • Opgeslagen werkmappen op het tabblad Mijn werkmappen in de galerie werkmappen .
  • Gekloonde inhoud of inhoudsbron = Aangepast in de jachtgalerie.
  • Actieve playbooks (ingeschakeld of uitgeschakeld) op het tabblad Actieve playbooks in de automatiseringsgalerie.

Deze wijziging heeft ook geen invloed op OOTB-inhoudssjablonen die zijn geïnstalleerd vanuit de inhoudshub (identificeerbaar als inhoudsbroninhoudshub = ).

Wat wordt gewijzigd?

In alle sjabloongalerieën wordt nu een waarschuwingsbanner in het product weergegeven. Deze banner bevat een koppeling naar een hulpprogramma dat wordt uitgevoerd in de Microsoft Sentinel-portal. Het activeren van het hulpprogramma start een begeleide ervaring om de inhoudssjablonen voor de buiten gebruik gestelde sjablonen van de inhoudshub opnieuw in te stellen.

Dit hulpprogramma hoeft slechts één keer per werkruimte te worden uitgevoerd, dus zorg ervoor dat u met uw organisatie plant. Nadat het hulpprogramma is uitgevoerd, verdwijnt de waarschuwingsbanner uit de sjabloongalerieën van die werkruimte.

De volgende tabel bevat specifieke gevolgen voor de inhoudssjablonen voor elk van deze galerieën. U kunt deze wijzigingen verwachten nu de centralisatie van OOTB-inhoud live is.

Content type Impact
Gegevensconnectors Sjablonen die kunnen worden geïdentificeerd als inhoudsbrongalerie = en Status = Niet verbonden, worden niet meer weergegeven in de galerie met gegevensconnectors.
Analyse Sjablonen die kunnen worden geïdentificeerd als inhoud van de galerie met bronnamen = , worden niet meer weergegeven in de galerie met analyses.
Jacht Sjablonen met inhoudsbrongalerie-inhoud = worden niet meer weergegeven in de opsporingsgalerie.
Playbooks Sjablonen die kunnen worden geïdentificeerd als inhoud van de bronnaamgalerie = , worden niet meer weergegeven in de galerie met automation-playbooks.
Werkmappen Sjablonen met inhoudsbrongalerie = worden niet meer weergegeven in de galerie werkmappen.

Hier volgt een voorbeeld van een analyseregel voor en nadat de centralisatie is gewijzigd en het hulpprogramma is uitgevoerd:

  • De actieve analyseregel verandert helemaal niet. Deze sjabloon is gebaseerd op een sjabloon voor analyseregels die buiten gebruik wordt gesteld.

    Screenshot that shows an active analytics rule before centralization changes.

    In deze schermopname ziet u een sjabloon voor analyseregels die buiten gebruik wordt gesteld.

    Screenshot that shows the analytics rule template that will be retired.

  • Nadat u het hulpprogramma hebt uitgevoerd om de sjabloon voor analyseregels opnieuw in te schakelen, wordt de bron gewijzigd in de oplossing waaruit het opnieuw wordt hersteld.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

Actie vereist

  • Installeer nieuwe OOTB-inhoud vanuit de inhoudshub en werk indien nodig oplossingen bij om de nieuwste versies van sjablonen te hebben.
  • Voor bestaande galerie-inhoudssjablonen die worden gebruikt, ontvangt u toekomstige updates door de oplossingen of zelfstandige inhoudsitems van de inhoudshub te installeren. De galerie-inhoud in de functiegalerieën is mogelijk verouderd.
  • Als u toepassingen of processen hebt die OOTB-inhoud rechtstreeks ophalen uit de GitHub-opslagplaats van Microsoft Sentinel, moet u de locaties bijwerken om OOTB-inhoud op te halen uit de map Oplossingen naast bestaande inhoudsmappen.
  • Plan met uw organisatie wie het hulpprogramma uitvoert en wanneer, nu de waarschuwingsbanner en de wijzigingen live zijn. Het hulpprogramma moet eenmaal in een werkruimte worden uitgevoerd om alle buiten gebruik gestelde sjablonen van de inhoudshub opnieuw in GEBRUIK te kunnen zetten.
  • Raadpleeg de volgende veelgestelde vragen voor meer informatie die van toepassing kunnen zijn op uw omgeving.

Veelgestelde vragen over inhouds centralisatie

Is deze wijziging van invloed op mijn SOC-waarschuwingsgeneratie of incidentgeneratie en -beheer?

Nee Er zijn geen gevolgen voor actieve waarschuwingsregels of -detecties, actieve playbooks, gekloonde opsporingsquery's of opgeslagen werkmappen. De centralisatiewijziging van OOTB-inhoud heeft geen invloed op uw huidige processen voor het genereren en beheren van incidenten.

Zijn er uitzonderingen voor galerie-inhoud?

Ja. De volgende typen analyseregelsjablonen zijn uitgesloten van deze wijziging:

  • Sjablonen voor afwijkingenregels
  • Samenvoegingsregelsjablonen
  • Ml Behavior Analytics-regelsjablonen (machine learning)
  • Regelsjablonen voor Microsoft-beveiliging (maken van incidenten)
  • Regelsjablonen voor bedreigingsinformatie

Heeft deze wijziging invloed op een van de API's?

Ja. Momenteel zijn de enige Microsoft Sentinel REST API-aanroepen die bestaan voor inhoudssjabloonbeheer de Get en List bewerkingen voor waarschuwingsregelsjablonen. Deze bewerkingen bieden alleen inhoudssjablonen voor galerie's en worden niet bijgewerkt. Zie de huidige REST API-verwijzing voor waarschuwingsregelsjablonen voor meer informatie over deze bewerkingen.

Nieuwe REST API-bewerkingen op de inhoudshub zijn binnenkort beschikbaar om OOTB-scenario's voor inhoudsbeheer breder mogelijk te maken. Deze API-update bevat bewerkingen voor dezelfde inhoudstypen die zijn gericht op de centralisatiewijzigingen (gegevensconnectors, playbooksjablonen, werkmapsjablonen, sjablonen voor analyseregels, opsporingsquery's). Een mechanisme voor het bijwerken van sjablonen voor analyseregels die in de werkruimte zijn geïnstalleerd, staat ook op de roadmap.

Actie nodig: plan uw toepassingen en processen bij te werken voor het gebruik van de nieuwe OOTB-api-bewerkingen voor inhoudsbeheer op de inhoudshub wanneer deze beschikbaar zijn. Oorspronkelijk hebben we aangegeven dat dit beschikbaar zou zijn in Q2 2023, maar ze zijn nog niet klaar.

Hoe identificeert het centrale hulpprogramma mijn ingebruikte OOTB-inhoudssjablonen?

Het hulpprogramma bouwt een lijst met oplossingen op basis van twee criteria: gegevensconnectors met status = Verbinding maken ed en IN USE playbooksjablonen. Nadat het hulpprogramma de voorgestelde lijst met oplossingen heeft gebouwd, wordt de lijst voor goedkeuring weergegeven. Als de lijst is goedgekeurd, installeert het hulpprogramma al deze oplossingen. Omdat de OOTB-inhoud opnieuw wordt hersteld op basis van oplossingen, krijgt u mogelijk meer sjablonen dan u daadwerkelijk gebruikt.

Dit centrale hulpprogramma is een beste poging om uw IN USE OOTB-inhoudssjablonen opnieuw te laten inschakelen vanuit de inhoudshub. U kunt weggelaten OOTB-inhoud rechtstreeks vanuit de inhoudshub installeren.

Wat gebeurt er als ik API's gebruik om gegevensbronnen te verbinden in mijn Microsoft Sentinel-werkruimte?

Als een API-gegevensverbinding op dit moment overeenkomt met het gegevenstype van de gegevensconnector, wordt deze weergegeven als Status = Verbinding maken weergegeven in de galerie met gegevensconnectors. Nadat de centralisatiewijzigingen live zijn gegaan, moet de specifieke gegevensconnector worden geïnstalleerd vanuit een respectieve oplossing om hetzelfde gedrag te krijgen.

Actie vereist: plan processen of hulpprogramma's voor de implementatie van uw gegevensconnector bij te werken om te installeren vanuit content hub-oplossingen voordat u verbinding maakt met API's voor gegevensopname. De REST API-operator voor het installeren van een oplossing wordt in Q2 2023 geleverd met de OOTB-API's voor inhoudsbeheer.

Wat gebeurt er als ik met inhoud werk met behulp van de functie opslagplaatsen in Microsoft Sentinel?

Opslagplaatsen implementeren specifiek aangepaste of actieve inhoud in Microsoft Sentinel. De centralisatiewijzigingen van OOTB-inhoud hebben geen invloed op inhoud die is geïmplementeerd via de functie opslagplaatsen.

Heeft dit invloed op implementatiegroepen in werkruimtebeheer?

Net zoals opslagplaatsen implementeert werkruimtebeheer alleen aangepaste of actieve inhoud, zodat de centralisatiewijzigingen van OOTB-inhoud ook geen invloed hebben op inhoud die is geïmplementeerd via werkruimtebeheer.

Volgende stappen

Bekijk deze andere resources voor OOTB-inhoud en de inhoudshub: