Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią
Centrum zawartości usługi Microsoft Sentinel to centralna lokalizacja do odnajdywania gotowej zawartości (wbudowanej) i zarządzania nią. W tym miejscu znajdziesz spakowane rozwiązania dla produktów end-to-end według domeny lub branży. Masz dostęp do ogromnej liczby autonomicznych współtworzeń hostowanych w naszym repozytorium GitHub i blokach funkcji.
Odkryj rozwiązania i zawartość autonomiczną z spójnym zestawem funkcji filtrowania na podstawie stanu, typu zawartości, pomocy technicznej, dostawcy i kategorii.
Zainstaluj zawartość w obszarze roboczym jednocześnie lub indywidualnie.
Wyświetl zawartość w widoku listy i szybko zobacz, które rozwiązania mają aktualizacje. Aktualizuj rozwiązania jednocześnie podczas automatycznego aktualizowania zawartości autonomicznej.
Zarządzanie rozwiązaniem w celu zainstalowania typów zawartości i pobrania najnowszych zmian.
Skonfiguruj zawartość autonomiczną, aby tworzyć nowe aktywne elementy na podstawie najbardziej aktualnego szablonu.
Jeśli jesteś partnerem, który chce utworzyć własne rozwiązanie, zobacz Przewodnik tworzenia i publikowania rozwiązań usługi Microsoft Sentinel.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagania wstępne
Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.
Aby uzyskać więcej informacji na temat innych ról i uprawnień obsługiwanych w usłudze Microsoft Sentinel, zobacz Uprawnienia w usłudze Microsoft Sentinel.
Odkrywanie zawartości
Centrum zawartości oferuje najlepszy sposób znajdowania nowej zawartości lub zarządzania już zainstalowanymi rozwiązaniami.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>Na stronie Centrum zawartości jest wyświetlana siatka z możliwością wyszukiwania lub lista rozwiązań i zawartości autonomicznej.
Przefiltruj wyświetlaną listę, wybierając określone wartości z filtrów lub wprowadzając dowolną część nazwy zawartości lub opisu w polu Wyszukaj .
Aby uzyskać więcej informacji, zobacz Kategorie gotowej zawartości i rozwiązań usługi Microsoft Sentinel.
Wybierz widok Karta, aby wyświetlić więcej informacji o rozwiązaniu.
Każdy element zawartości zawiera kategorie, które mają zastosowanie do niego, a rozwiązania pokazują uwzględnione typy zawartości. Na przykład na poniższej ilustracji rozwiązanie Cisco Umbrella wyświetla jedną z jego kategorii jako Security — Cloud Security i wskazuje, że zawiera łącznik danych, reguły analizy, zapytania wyszukiwania zagrożeń, podręczniki i inne.
Instalowanie lub aktualizowanie zawartości
Zainstaluj autonomiczną zawartość i rozwiązania pojedynczo lub zbiorczo. Aby uzyskać więcej informacji na temat operacji zbiorczych, zobacz Zbiorcze instalowanie i aktualizowanie zawartości w następnej sekcji.
Jeśli wdrożone rozwiązanie zawiera aktualizacje od czasu jego ostatniego wdrożenia, w widoku listy zostanie wyświetlona pozycja Aktualizuj w kolumnie stan. Rozwiązanie jest również uwzględniane w liczbie aktualizacji w górnej części strony.
Oto przykład przedstawiający instalację pojedynczego rozwiązania.
W centrum zawartości wyszukaj i wybierz rozwiązanie.
W okienku szczegółów rozwiązań w prawym dolnym rogu wybierz pozycję Wyświetl szczegóły.
Wybierz pozycję Utwórz lub zaktualizuj.
Na karcie Podstawy wprowadź subskrypcję, grupę zasobów i obszar roboczy, aby wdrożyć rozwiązanie. Na przykład:
Wybierz przycisk Dalej , aby przejść przez pozostałe karty, aby dowiedzieć się więcej, a w niektórych przypadkach skonfigurować poszczególne składniki zawartości.
Karty odpowiadają zawartości oferowanej przez rozwiązanie. Różne rozwiązania mogą mieć różne typy zawartości, więc w każdym rozwiązaniu mogą nie być widoczne te same karty.
Może zostać również wyświetlony monit o wprowadzenie poświadczeń do usługi firmy innej niż Microsoft, aby usługa Microsoft Sentinel mogła uwierzytelniać się w systemach. Na przykład w przypadku podręczników możesz chcieć wykonać akcje odpowiedzi zgodnie z zaleceniami w systemie.
Na karcie Przeglądanie i tworzenie poczekaj
Validation Passed
na komunikat.Wybierz pozycję Utwórz lub Aktualizuj , aby wdrożyć rozwiązanie. Możesz również wybrać link Pobierz szablon automatyzacji , aby wdrożyć rozwiązanie jako kod.
Instalowanie za pomocą zależności
Niektóre rozwiązania mają zależności do zainstalowania, w tym wiele rozwiązań domenowych i rozwiązań korzystających z ujednoliconych łączników AMA dla formatu CEF, dziennika systemowego lub dzienników niestandardowych.
W takich przypadkach wybierz pozycję Zainstaluj z zależnościami , aby upewnić się, że wymagane łączniki danych są również zainstalowane. W tym miejscu wybierz co najmniej jedną zależność, aby je zainstalować wraz z oryginalnym rozwiązaniem. Oryginalne rozwiązanie wybrane do zainstalowania jest zawsze wybierane domyślnie.
Jeśli co najmniej jedno rozwiązanie zależności jest już zainstalowane, ale ma aktualizacje, użyj przycisku Zainstaluj/Aktualizuj , aby zainstalować i zaktualizować wszystkie wybrane rozwiązania zbiorczo. Na przykład:
Po zainstalowaniu rozwiązania każdy typ zawartości w rozwiązaniu może wymagać wykonania dodatkowych kroków. Aby uzyskać więcej informacji, zobacz Włączanie elementów zawartości w rozwiązaniu.
Zbiorcze instalowanie i aktualizowanie zawartości
Centrum zawartości obsługuje widok listy oprócz domyślnego widoku karty. Wybierz widok listy, aby zainstalować wiele rozwiązań i autonomiczną zawartość jednocześnie. Zawartość autonomiczna jest aktualizowana automatycznie. Każda aktywna lub niestandardowa zawartość utworzona na podstawie rozwiązań lub autonomicznej zawartości zainstalowanej z centrum zawartości pozostaje nietknięta.
Aby zbiorczo zainstalować lub zaktualizować elementy, przejdź do widoku listy.
Wyszukaj lub filtruj, aby znaleźć zawartość, którą chcesz zainstalować lub zaktualizować zbiorczo.
Zaznacz pole wyboru dla każdego rozwiązania lub autonomicznej zawartości, którą chcesz zainstalować lub zaktualizować.
Wybierz przycisk Zainstaluj/Aktualizuj.
Jeśli wybrane rozwiązanie lub autonomiczna zawartość została już zainstalowana lub zaktualizowana, nie zostanie podjęta żadna akcja dla tego elementu. Nie zakłóca aktualizacji i instalowania innych elementów.
Wybierz pozycję Zarządzaj dla każdego zainstalowanego rozwiązania. Typy zawartości w rozwiązaniu mogą wymagać dodatkowych informacji do skonfigurowania. Aby uzyskać więcej informacji, zobacz Włączanie elementów zawartości w rozwiązaniu.
Włączanie elementów zawartości w rozwiązaniu
Centralnie zarządzaj elementami zawartości dla zainstalowanych rozwiązań z centrum zawartości.
W centrum zawartości wybierz zainstalowane rozwiązanie, w którym wersja to 2.0.0 lub nowsza.
Na stronie szczegółów rozwiązań wybierz pozycję Zarządzaj.
Przejrzyj listę elementów zawartości.
Wybierz element zawartości, aby rozpocząć pracę.
Zarządzanie poszczególnymi typami zawartości
W poniższych sekcjach przedstawiono wskazówki dotyczące pracy z różnymi typami zawartości podczas zarządzania rozwiązaniem.
Łącznik danych
Aby połączyć łącznik danych, wykonaj kroki konfiguracji.
Wybierz pozycję Otwórz stronę łącznika.
Wykonaj kroki konfiguracji łącznika danych.
Po skonfigurowaniu łącznika danych i dzienników zostaną wykryte, stan zmieni się na Połączono.
Reguła analizy
Utwórz regułę na podstawie szablonu lub edytuj istniejącą regułę.
Wyświetl szablon w galerii szablonów analizy.
Jeśli szablon nie jest jeszcze używany, wybierz pozycję Otwórz>regułę tworzenia i wykonaj kroki, aby włączyć regułę analizy.
Po utworzeniu reguły liczba aktywnych reguł utworzonych na podstawie szablonu jest wyświetlana w kolumnie Utworzona zawartość .
Wybierz link aktywne reguły, aby edytować istniejącą regułę. Na przykład link aktywnej reguły na poniższej ilustracji znajduje się w obszarze Zawartość utworzona i pokazuje 2 elementy.
Zapytanie dotyczące wyszukiwania zagrożeń
Uruchom podane zapytanie wyszukiwania zagrożeń lub dostosuj je.
Aby rozpocząć wyszukiwanie od razu, wybierz pozycję Uruchom zapytanie na stronie szczegółów, aby uzyskać szybkie wyniki.
Aby dostosować zapytanie wyszukiwania zagrożeń, wybierz link w kolumnie Nazwa zawartości .
Z galerii wyszukiwania zagrożeń możesz utworzyć klon szablonu zapytania wyszukiwania tylko do odczytu, przechodząc do menu wielokropka. Zapytania wyszukiwania zagrożeń utworzone w ten sposób są wyświetlane jako elementy w centrum zawartości Utworzono zawartość kolumny.
skoroszyt
Aby dostosować skoroszyt utworzony na podstawie szablonu, utwórz wystąpienie skoroszytu.
Wybierz pozycję Wyświetl szablon , aby otworzyć skoroszyt i wyświetlić wizualizacje.
Wybierz pozycję Zapisz , aby utworzyć wystąpienie szablonu skoroszytu.
Wyświetl zapisany skoroszyt możliwy do dostosowania, wybierając pozycję Wyświetl zapisany skoroszyt.
W centrum zawartości wybierz link 1 elementu w kolumnie Utworzona zawartość , aby zarządzać skoroszytem.
Parser
Po zainstalowaniu rozwiązania wszystkie dołączone analizatory są dodawane jako funkcje obszaru roboczego w usłudze Log Analytics.
Wybierz pozycję Załaduj kod funkcji, aby otworzyć usługę Log Analytics i wyświetlić lub uruchomić kod funkcji.
Wybierz pozycję Użyj w edytorze , aby otworzyć usługę Log Analytics z nazwą analizatora gotową do dodania do zapytania niestandardowego.
Podręcznik
Tworzenie podręcznika na podstawie szablonu.
Wybierz link Nazwa zawartości podręcznika.
Wybierz szablon i wybierz pozycję Utwórz podręcznik.
Po utworzeniu podręcznika aktywny podręcznik zostanie wyświetlony w kolumnie Utworzona zawartość .
Wybierz link aktywnego elementu playbook 1, aby zarządzać podręcznikiem.
Znajdowanie modelu pomocy technicznej dla zawartości
Każde rozwiązanie i autonomiczny element zawartości wyjaśnia swój model pomocy technicznej w okienku szczegółów w polu Pomoc techniczna , w którym znajduje się nazwa firmy Microsoft lub partnera. Na przykład:
Podczas kontaktowania się z pomocą techniczną może być konieczne podanie innych szczegółów dotyczących rozwiązania, takich jak wydawca, dostawca i wartości identyfikatora planu. Znajdź te informacje na stronie szczegółów na karcie Informacje o użyciu i obsługa techniczna .
Następne kroki
W tym dokumencie przedstawiono sposób znajdowania i wdrażania wbudowanych rozwiązań i zawartości autonomicznej dla usługi Microsoft Sentinel.
- Dowiedz się więcej o rozwiązaniach usługi Microsoft Sentinel.
- Zobacz pełny katalog rozwiązań usługi Microsoft Sentinel w witrynie Azure Marketplace.
- Znajdź rozwiązania specyficzne dla domeny w katalogu centrum zawartości usługi Microsoft Sentinel.
- Usuń zainstalowaną zawartość i rozwiązania gotowe do użycia w usłudze Microsoft Sentinel.
Wiele rozwiązań obejmuje łączniki danych, które należy skonfigurować, aby można było rozpocząć pozyskiwanie danych w usłudze Microsoft Sentinel. Każdy łącznik danych ma własny zestaw wymagań szczegółowych na stronie łącznika danych w usłudze Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Łączenie źródła danych.