Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren
De Microsoft Sentinel Content Hub is uw centrale locatie om out-of-the-box-inhoud (ingebouwd) te detecteren en te beheren. Daar vindt u verpakte oplossingen voor end-to-end producten per domein of branche. U hebt toegang tot het grote aantal zelfstandige bijdragen dat wordt gehost in onze GitHub-opslagplaats en functieblade.
Ontdek oplossingen en zelfstandige inhoud met een consistente set filtermogelijkheden op basis van status, inhoudstype, ondersteuning, provider en categorie.
Installeer inhoud in uw werkruimte allemaal tegelijk of afzonderlijk.
Bekijk inhoud in de lijstweergave en bekijk snel welke oplossingen updates hebben. Werk oplossingen allemaal tegelijk bij terwijl zelfstandige inhoud automatisch wordt bijgewerkt.
Beheer een oplossing om de inhoudstypen te installeren en de meest recente wijzigingen op te halen.
Configureer zelfstandige inhoud om nieuwe actieve items te maken op basis van de meest recente sjabloon.
Als u een partner bent die uw eigen oplossing wil maken, raadpleegt u de buildhandleiding voor Microsoft Sentinel-oplossingen voor het ontwerpen en publiceren van oplossingen.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Vereisten
Als u zelfstandige inhoud of oplossingen in de inhoudshub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel-inzender nodig op het niveau van de resourcegroep.
Zie Machtigingen in Microsoft Sentinel voor meer informatie over andere rollen en machtigingen die worden ondersteund voor Microsoft Sentinel.
Inhoud ontdekken
De inhoudshub biedt de beste manier om nieuwe inhoud te vinden of de oplossingen te beheren die u al hebt geïnstalleerd.
Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.Op de pagina Inhoudshub wordt een doorzoekbaar raster of een lijst met oplossingen en zelfstandige inhoud weergegeven.
Filter de weergegeven lijst door specifieke waarden in de filters te selecteren of een deel van een inhoudsnaam of beschrijving in te voeren in het zoekveld .
Zie Categorieën voor Microsoft Sentinel out-of-the-box-inhoud en -oplossingen voor meer informatie.
Selecteer de kaartweergave om meer informatie over een oplossing weer te geven.
Elk inhoudsitem bevat categorieën die hierop van toepassing zijn en oplossingen geven de inhoudstypen weer die zijn opgenomen. In de volgende afbeelding bevat de Cisco Umbrella-oplossing bijvoorbeeld een van de categorieën Beveiliging - Cloud Security en geeft aan dat deze een gegevensconnector, analyseregels, opsporingsquery's, playbooks en meer bevat.
Inhoud installeren of bijwerken
Installeer zelfstandige inhoud en oplossingen afzonderlijk of allemaal bulksgewijs. Zie Inhoud bulksgewijs installeren en bijwerken in de volgende sectie voor meer informatie over bulkbewerkingen.
Als een oplossing die u hebt geïmplementeerd updates heeft sinds u deze voor het laatst hebt geïmplementeerd, wordt in de lijstweergave Update weergegeven in de statuskolom. De oplossing is ook opgenomen in het aantal updates boven aan de pagina.
Hier volgt een voorbeeld met de installatie van een afzonderlijke oplossing.
Zoek en selecteer de oplossing in de Inhoudshub.
Selecteer Details weergeven in het detailvenster van de oplossing rechtsonder.
Selecteer Maken of Bijwerken.
Voer op het tabblad Basis het abonnement, de resourcegroep en de werkruimte in om de oplossing te implementeren. Voorbeeld:
Selecteer Volgende om de resterende tabbladen te doorlopen voor meer informatie en in sommige gevallen configureert u elk van de inhoudsonderdelen.
De tabbladen komen overeen met de inhoud die door de oplossing wordt aangeboden. Verschillende oplossingen hebben mogelijk verschillende soorten inhoud, dus u ziet mogelijk niet dezelfde tabbladen in elke oplossing.
Mogelijk wordt u ook gevraagd om referenties in te voeren voor een niet-Microsoft-service, zodat Microsoft Sentinel kan worden geverifieerd bij uw systemen. Met playbooks kunt u bijvoorbeeld reactieacties uitvoeren zoals voorgeschreven in uw systeem.
Wacht op het tabblad Controleren en maken op het
Validation Passed
bericht.Selecteer Maken of Bijwerken om de oplossing te implementeren. U kunt ook de koppeling Een sjabloon voor automatisering downloaden selecteren om de oplossing als code te implementeren.
Installeren met afhankelijkheden
Sommige oplossingen hebben afhankelijkheden die moeten worden geïnstalleerd, waaronder veel domeinoplossingen en oplossingen die gebruikmaken van de geïntegreerde AMA-connectors voor CEF, Syslog of aangepaste logboeken.
In dergelijke gevallen selecteert u Installeren met afhankelijkheden om ervoor te zorgen dat de vereiste gegevensconnectors ook worden geïnstalleerd. Selecteer daar een of meer van de afhankelijkheden om ze samen met de oorspronkelijke oplossing te installeren. De oorspronkelijke oplossing die u hebt gekozen om te installeren, is altijd standaard geselecteerd.
Als een of meer van de afhankelijkheidsoplossingen al zijn geïnstalleerd, maar updates bevat, gebruikt u de knop Installeren/bijwerken om alle geselecteerde oplossingen bulksgewijs te installeren en bij te werken. Voorbeeld:
Nadat u een oplossing hebt geïnstalleerd, moet elk inhoudstype in de oplossing mogelijk meer stappen configureren. Zie Inhoudsitems inschakelen in een oplossing voor meer informatie.
Inhoud bulksgewijs installeren en bijwerken
Inhoudshub ondersteunt een lijstweergave naast de standaardkaartweergave. Selecteer de lijstweergave om meerdere oplossingen en zelfstandige inhoud tegelijk te installeren. Zelfstandige inhoud wordt automatisch bijgewerkt. Actieve of aangepaste inhoud die is gemaakt op basis van oplossingen of zelfstandige inhoud die is geïnstalleerd vanuit de inhoudshub, blijft ongewijzigd.
Als u items bulksgewijs wilt installeren of bijwerken, gaat u naar de lijstweergave.
Zoek of filter om de inhoud te vinden die u bulksgewijs wilt installeren of bijwerken.
Schakel het selectievakje in voor elke oplossing of zelfstandige inhoud die u wilt installeren of bijwerken.
Selecteer de knop Installeren/bijwerken .
Als een oplossing of zelfstandige inhoud die u hebt geselecteerd al is geïnstalleerd of bijgewerkt, wordt er geen actie ondernomen op dat item. Het heeft geen invloed op de update en installatie van de andere items.
Selecteer Beheren voor elke oplossing die u hebt geïnstalleerd. Voor inhoudstypen in de oplossing is mogelijk meer informatie nodig om te configureren. Zie Inhoudsitems inschakelen in een oplossing voor meer informatie.
Inhoudsitems in een oplossing inschakelen
Inhoudsitems centraal beheren voor geïnstalleerde oplossingen vanuit de inhoudshub.
Selecteer in de inhoudshub een geïnstalleerde oplossing waarbij de versie 2.0.0 of hoger is.
Selecteer Beheren op de pagina met details van oplossingen.
Bekijk de lijst met inhoudsitems.
Selecteer een inhoudsitem om aan de slag te gaan.
Elk inhoudstype beheren
In de volgende secties vindt u enkele tips over het werken met de verschillende inhoudstypen terwijl u een oplossing beheert.
Gegevensconnector
Voltooi de configuratiestappen om verbinding te maken met een gegevensconnector.
Selecteer de pagina Verbindingslijn openen.
Voer de configuratiestappen voor de gegevensconnector uit.
Nadat u de gegevensconnector en logboeken hebt geconfigureerd, wordt de status gewijzigd in Verbonden.
Analyseregel
Maak een regel op basis van een sjabloon of bewerk een bestaande regel.
Bekijk de sjabloon in de galerie met analysesjablonen.
Als de sjabloon nog niet wordt gebruikt, selecteert u Een>regel maken openen en volgt u de stappen om de analyseregel in te schakelen.
Nadat u een regel hebt gemaakt, wordt het aantal actieve regels dat is gemaakt op basis van de sjabloon weergegeven in de kolom Inhoud gemaakt .
Selecteer de koppeling actieve regels om de bestaande regel te bewerken. De actieve regelkoppeling in de volgende afbeelding bevindt zich bijvoorbeeld onder Inhoud die is gemaakt en bevat twee items.
Opsporingsquery
Voer de opgegeven opsporingsquery uit of pas deze aan.
Als u meteen wilt zoeken, selecteert u Query uitvoeren op de detailpagina voor snelle resultaten.
Als u uw opsporingsquery wilt aanpassen, selecteert u de koppeling in de kolom Inhoudsnaam .
Vanuit de jachtgalerie kunt u een kloon van de alleen-lezen opsporingsquerysjabloon maken door naar het menu met weglatingstekens te gaan. Opsporingsquery's die op deze manier zijn gemaakt, worden weergegeven als items in de kolom Met inhoud gemaakte inhoud van de inhoudshub.
Werkmap
Als u een werkmap wilt aanpassen die is gemaakt op basis van een sjabloon, maakt u een exemplaar van een werkmap.
Selecteer De sjabloon Weergeven om de werkmap te openen en de visualisaties weer te geven.
Selecteer Opslaan om een exemplaar van de werkmapsjabloon te maken.
Bekijk de opgeslagen aanpasbare werkmap door opgeslagen werkmap weergeven te selecteren.
Selecteer in de inhoudshub de koppeling 1 item in de kolom Inhoud gemaakt om de werkmap te beheren.
Parser
Wanneer een oplossing is geïnstalleerd, worden eventuele opgenomen parsers toegevoegd als werkruimtefuncties in Log Analytics.
Selecteer De functiecode laden om Log Analytics te openen en de functiecode weer te geven of uit te voeren.
Selecteer Gebruiken in editor om Log Analytics te openen met de parsernaam die klaar is om toe te voegen aan uw aangepaste query.
Playbook
Een playbook maken op basis van een sjabloon.
Selecteer de koppeling Inhoudsnaam van het playbook.
Kies de sjabloon en selecteer Playbook maken.
Nadat het playbook is gemaakt, wordt het actieve playbook weergegeven in de kolom Inhoud gemaakt .
Selecteer de itemkoppeling voor het actieve playbook 1 om het playbook te beheren.
Het ondersteuningsmodel voor uw inhoud zoeken
Elk oplossings- en zelfstandig inhoudsitem legt het ondersteuningsmodel uit in het detailvenster, in het vak Ondersteuning , waarin Microsoft of de naam van een partner wordt vermeld. Voorbeeld:
Wanneer u contact op neemt met ondersteuning, hebt u mogelijk andere gegevens nodig over uw oplossing, zoals een uitgever, provider en plan-id-waarden. Zoek deze informatie op de pagina met details op het tabblad Gebruiksgegevens en ondersteuning .
Volgende stappen
In dit document hebt u geleerd hoe u ingebouwde oplossingen en zelfstandige inhoud voor Microsoft Sentinel kunt vinden en implementeren.
- Meer informatie over Microsoft Sentinel-oplossingen.
- Bekijk de volledige catalogus met Microsoft Sentinel-oplossingen in Azure Marketplace.
- Zoek domeinspecifieke oplossingen in de inhoudshubcatalogus van Microsoft Sentinel.
- Verwijder geïnstalleerde out-of-the-box-inhoud en -oplossingen van Microsoft Sentinel.
Veel oplossingen omvatten gegevensconnectors die u moet configureren, zodat u uw gegevens kunt opnemen in Microsoft Sentinel. Elke gegevensconnector heeft een eigen set vereisten die worden beschreven op de pagina gegevensconnector in Microsoft Sentinel.
Zie Uw gegevensbron verbinden voor meer informatie.