Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel
Zawartość usługi Microsoft Sentinel to składniki rozwiązania Do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), które umożliwiają klientom pozyskiwanie danych, monitorowanie, alerty, wyszukiwanie, badanie, reagowanie i łączenie się z różnymi produktami, platformami i usługami.
Zawartość w usłudze Microsoft Sentinel zawiera dowolny z następujących typów:
- Łączniki danych zapewniają pozyskiwanie dzienników z różnych źródeł do usługi Microsoft Sentinel
- Analizatory zapewniają formatowanie/przekształcanie dzienników w formatach advanced Security Information Model (ASIM), obsługując użycie w różnych typach zawartości i scenariuszach usługi Microsoft Sentinel
- Skoroszyty zapewniają monitorowanie, wizualizację i interakcyjność z danymi w usłudze Microsoft Sentinel, podkreślając istotne szczegółowe informacje dla użytkowników
- Reguły analizy zapewniają alerty wskazujące odpowiednie akcje SOC za pośrednictwem zdarzeń
- Zapytania dotyczące wyszukiwania zagrożeń są używane przez zespoły SOC do proaktywnego wyszukiwania zagrożeń w usłudze Microsoft Sentinel
- Notesy ułatwiają zespołom SOC korzystanie z zaawansowanych funkcji wyszukiwania zagrożeń w programie Jupyter i usłudze Azure Notebooks
- Listy kontrolne obsługują pozyskiwanie określonych danych w celu rozszerzonego wykrywania zagrożeń i zmniejszenia zmęczenia alertów
- Podręczniki i łączniki niestandardowe usługi Azure Logic Apps udostępniają funkcje zautomatyzowanego badania, korygowania i scenariuszy odpowiedzi w usłudze Microsoft Sentinel
Usługa Microsoft Sentinel oferuje te typy zawartości jako rozwiązania i elementy autonomiczne . Rozwiązania to pakiety zawartości usługi Microsoft Sentinel lub integracji interfejsu API usługi Microsoft Sentinel, które spełniają kompleksowe scenariusze produktu, domeny lub branży w usłudze Microsoft Sentinel. Zarówno rozwiązania, jak i elementy autonomiczne są wykrywalne i zarządzane z centrum zawartości.
Możesz dostosować zawartość out-of-the-box (OOTB) do własnych potrzeb lub utworzyć własne rozwiązanie z zawartością, aby udostępniać je innym osobom w społeczności. Aby uzyskać więcej informacji, zobacz Przewodnik kompilacji rozwiązań usługi Microsoft Sentinel na potrzeby tworzenia i publikowania rozwiązań.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Odnajdywanie zawartości usługi Microsoft Sentinel i zarządzanie nią
Centrum zawartości usługi Microsoft Sentinel umożliwia centralne odnajdywanie i instalowanie gotowej zawartości (OOTB).
Centrum zawartości usługi Microsoft Sentinel zapewnia możliwość odnajdywania produktów, wdrażanie jednoetapowe i włączanie kompleksowego produktu, domeny i/lub pionowej zawartości OOTB w usłudze Microsoft Sentinel.
Filtruj według kategorii i innych parametrów lub korzystaj z zaawansowanego wyszukiwania tekstu, aby znaleźć zawartość, która najlepiej odpowiada potrzebom organizacji.
Centrum zawartości wskazuje również model pomocy technicznej zastosowany do każdego elementu zawartości, ponieważ niektóre treści są obsługiwane przez firmę Microsoft, a inne są obsługiwane przez partnerów lub społeczność.
Zarządzaj aktualizacjami zawartości gotowej do użycia w centrum zawartości. Lub w przypadku zawartości niestandardowej zarządzaj aktualizacjami na stronie Repozytoria . Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.
Dostosuj wbudowaną zawartość do własnych potrzeb lub utwórz zawartość niestandardową, w tym reguły analizy, zapytania wyszukiwania zagrożeń, notesy, skoroszyty i inne.
Zarządzanie zawartością niestandardową bezpośrednio w obszarze roboczym usługi Microsoft Sentinel przy użyciu interfejsu API usługi Microsoft Sentinel lub z własnego repozytorium kontroli źródła. Aby uzyskać więcej informacji, zobacz Interfejs API usługi Microsoft Sentinel i Wdrażanie zawartości niestandardowej z repozytorium.
Dlaczego warto korzystać z rozwiązań centrum zawartości?
Rozwiązania usługi Microsoft Sentinel to spakowane integracje, które dostarczają kompleksową wartość produktu dla co najmniej jednej domeny lub scenariuszy pionowych w centrum zawartości.
Środowisko rozwiązań obsługiwane przez witrynę Azure Marketplace ułatwia odnajdywanie i wdrażanie żądanej zawartości. Aby uzyskać więcej informacji na temat tworzenia i publikowania rozwiązań w witrynie Azure Marketplace, zobacz Przewodnik kompilacji rozwiązań usługi Microsoft Sentinel.
Zawartość spakowana to kolekcje co najmniej jednego składnika zawartości usługi Microsoft Sentinel, takie jak łączniki danych, skoroszyty, reguły analizy, podręczniki, zapytania wyszukiwania zagrożeń, listy do obejrzenia, analizatory i inne.
Integracje obejmują usługi lub narzędzia utworzone przy użyciu interfejsów API usługi Microsoft Sentinel lub Azure Log Analytics, które obsługują integrację między platformą Azure i istniejącymi aplikacjami klientów, a także migrują dane, zapytania i nie tylko z tych aplikacji do usługi Microsoft Sentinel.
Możesz również użyć rozwiązań do instalowania pakietów zawartości gotowej do użycia (OOTB) w jednym kroku, gdzie zawartość jest często gotowa do natychmiastowego użycia. Dostawcy i partnerzy korzystają z rozwiązań usługi Sentinel, aby zwiększyć wartość inwestycji swoich klientów poprzez dostarczanie połączonego produktu, domeny lub wartości pionowej.
Centrum zawartości umożliwia centralne odnajdywanie i wdrażanie rozwiązań oraz zawartości OOTB w sposób oparty na scenariuszu.
Aby uzyskać więcej informacji, zobacz:
- Centralne odnajdywanie i wdrażanie gotowej zawartości i rozwiązań usługi Microsoft Sentinel
- Katalog rozwiązań usługi Microsoft Sentinel w witrynie Azure Marketplace
- Katalog usługi Microsoft Sentinel
Kategorie gotowej zawartości i rozwiązań usługi Microsoft Sentinel
Gotowej zawartości usługi Microsoft Sentinel można zastosować z co najmniej jedną z następujących kategorii. W centrum zawartości wybierz kategorie, które chcesz wyświetlić, aby zmienić wyświetlaną zawartość. Elementy dostarczane przez społeczność można odnajdywać centralnie w centrum zawartości jako zawartość autonomiczną lub rozwiązania.
Kategorie domen
| Nazwa kategorii | opis |
|---|---|
| Aplikacja | Obciążenie internetowe, oparte na serwerze, SaaS, bazy danych, komunikacji lub produktywności |
| Dostawca usług w chmurze | Usługa w chmurze |
| Zgodność z przepisami | Zgodność produktu, usług i protokołów |
| DevOps | Narzędzia i usługi dla operacji programistycznych |
| Tożsamość | Dostawcy usług tożsamości i integracje |
| Internet rzeczy (IoT) | IoT, urządzenia technologii operacyjnej (OT) i infrastruktura, usługi kontroli przemysłowej |
| Operacje IT | Produkty i usługi zarządzające IT |
| Migracja | Produkty, usługi i usługi umożliwiające migrację |
| Sieć | Produkty sieciowe, usługi i narzędzia |
| Platforma | Składniki ogólne lub składniki struktury usługi Microsoft Sentinel, infrastruktura chmury i platforma |
| Zabezpieczenia — inne | Inne produkty i usługi zabezpieczeń bez innego jasnej kategorii |
| Zabezpieczenia — analiza zagrożeń | Platformy analizy zagrożeń, źródła danych, produkty i usługi |
| Zabezpieczenia — ochrona przed zagrożeniami | Ochrona przed zagrożeniami, ochrona poczty e-mail, rozszerzone wykrywanie i reagowanie (XDR) oraz produkty i usługi ochrony punktu końcowego |
| Zabezpieczenia — 0-dniowa luka w zabezpieczeniach | Wyspecjalizowane rozwiązania do ataków bezbłędnych luk w zabezpieczeniach, takich jak Nobla |
| Zabezpieczenia — automatyzacja (SOAR) | Automatyzacje zabezpieczeń, SOAR (Operacje zabezpieczeń i zautomatyzowane odpowiedzi), operacje zabezpieczeń i produkty i usługi reagowania na zdarzenia. |
| Zabezpieczenia — Zabezpieczenia w chmurze | CASB (Cloud Access Service Broker), CWPP (platformy ochrony obciążeń w chmurze), CSPM (zarządzanie stanem zabezpieczeń w chmurze i inne produkty i usługi Cloud Security) |
| Zabezpieczenia — Information Protection | Ochrona informacji i produkty i usługi ochrony dokumentów |
| Zabezpieczenia — zagrożenie niejawne | Analiza behawioralna zagrożeń i użytkowników i jednostek (UEBA) dla produktów i usług zabezpieczeń |
| Zabezpieczenia — sieć | Zabezpieczenia urządzeń sieciowych, zapory, NDR (wykrywanie sieci i reagowanie), NIDP (zapobieganie włamaniom i wykrywaniu sieci) oraz przechwytywanie pakietów sieciowych |
| Zabezpieczenia — zarządzanie lukami w zabezpieczeniach | Produkty i usługi do zarządzania lukami w zabezpieczeniach |
| Storage | Magazyny plików i pliki udostępniające produkty i usługi |
| Szkolenia i samouczki | Szkolenia, samouczki i zasoby dołączania |
| Zachowanie użytkownika (UEBA) | Produkty i usługi analizy zachowań użytkowników |
Kategorie branżowe w pionie
| Nazwa kategorii | opis |
|---|---|
| Aeronautyka | Produkty, usługi i zawartość specyficzna dla przemysłu lotniczego |
| Wykształcenie | Produkty, usługi i zawartość specyficzna dla branży edukacyjnej |
| Finance | Produkty, usługi i zawartość specyficzna dla branży finansowej |
| Ochrona zdrowia | Produkty, usługi i zawartość specyficzna dla branży opieki zdrowotnej |
| Produkcja | Produkty, usługi i zawartość specyficzna dla branży produkcyjnej |
| Retail | Produkty, usługi i zawartość specyficzna dla branży detalicznej |
Modele pomocy technicznej dla gotowej zawartości i rozwiązań usługi Microsoft Sentinel
Zarówno firma Microsoft, jak i inne organizacje, autorami gotowej zawartości i rozwiązań usługi Microsoft Sentinel. Każdy element gotowej zawartości lub rozwiązania ma jeden z następujących typów obsługi:
| Wspieraj model | opis |
|---|---|
| Obsługiwane przez firmę Microsoft | Dotyczy: — Zawartość/rozwiązania, w których firma Microsoft jest dostawcą danych, w stosownych przypadkach i autorem. — Niektóre rozwiązania/zawartość utworzona przez firmę Microsoft dla źródeł danych innych niż Microsoft. Firma Microsoft obsługuje i utrzymuje zawartość/rozwiązania w tym modelu pomocy technicznej zgodnie z planami pomocy technicznej platformy Microsoft Azure. Partnerzy lub społeczność obsługują zawartość lub rozwiązania utworzone przez każdą firmę inną niż Microsoft. |
| Obsługiwane przez partnera | Dotyczy zawartości/rozwiązań utworzonych przez strony inne niż Microsoft. Firma partnerska zapewnia pomoc techniczną lub konserwację tych elementów zawartości/rozwiązań. Firma partnerska może być niezależnym dostawcą oprogramowania, dostawcą usług zarządzanych (MSP/MSSP), integratorem systemów (SI) lub dowolną organizacją, której informacje kontaktowe są udostępniane na stronie usługi Microsoft Sentinel dla wybranej zawartości/rozwiązań. W przypadku wszelkich problemów z rozwiązaniem obsługiwanym przez partnera skontaktuj się z określonym kontaktem pomocy technicznej. |
| Obsługiwane przez społeczność | Dotyczy zawartości lub rozwiązań utworzonych przez deweloperów firmy Microsoft lub partnerów bez wyświetlania kontaktów w celu uzyskania pomocy technicznej i konserwacji w usłudze Microsoft Sentinel. W przypadku pytań lub problemów z tymi rozwiązaniami zgłoś problem w społeczności usługi GitHub usługi Microsoft Sentinel. |
Źródła zawartości dla zawartości i rozwiązań usługi Microsoft Sentinel
Każdy element zawartości lub rozwiązania ma jedno z następujących źródeł zawartości:
| Źródło zawartości | opis |
|---|---|
| Centrum zawartości | Rozwiązania wdrożone przez centrum zawartości obsługujące zarządzanie cyklem życia |
| Autonomiczna | Autonomiczna zawartość wdrożona przez centrum zawartości, która jest automatycznie aktualizowana |
| Okres niestandardowy | Zawartość lub rozwiązania dostosowane w obszarze roboczym |
| Zawartość galerii | Zawartość z galerii funkcji, które nie obsługują zarządzania cyklem życia. To źródło zawartości zostanie wkrótce wycofane. Aby uzyskać więcej informacji, zobacz Zmiany centralizacji zawartości OOTB. |
| Repozytoriów | Zawartość lub rozwiązania z repozytorium połączonego z obszarem roboczym |
Następne kroki
Odnajdywanie i instalowanie rozwiązań i zawartości autonomicznej z centrum zawartości w obszarze roboczym usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz:
- Centralne odnajdywanie i wdrażanie gotowej zawartości i rozwiązań
- Katalog rozwiązań usługi Microsoft Sentinel w witrynie Azure Marketplace
- Katalog usługi Microsoft Sentinel
- Łączniki danych usługi Microsoft Sentinel
- Znajdowanie łącznika danych usługi Microsoft Sentinel