Sobre o conteúdo e as soluções do Microsoft Sentinel
O conteúdo do Microsoft Sentinel é um componente da solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) que permite que os clientes ingeram dados, monitorem, alertem, procurem, investiguem, respondam e se conectem a diferentes produtos, plataformas e serviços.
O conteúdo do Microsoft Sentinel inclui qualquer um dos seguintes tipos:
- Os conectores de dados fornecem ingestão de log de diferentes fontes no Microsoft Sentinel
- Os analisadores fornecem formatação/transformação de log em formatos ASIM (Advanced Security Information Model), oferecendo suporte ao uso em vários tipos de conteúdo e cenários do Microsoft Sentinel
- As pastas de trabalho fornecem monitoramento, visualização e interatividade com dados no Microsoft Sentinel, destacando informações significativas para os usuários
- As regras de análise fornecem alertas que apontam para ações SOC relevantes por meio de incidentes
- As consultas de caça são usadas por equipes SOC para procurar ameaças proativamente no Microsoft Sentinel
- Os blocos de anotações ajudam as equipes SOC a usar recursos avançados de caça no Jupyter e no Azure Notebooks
- As listas de observação suportam a ingestão de dados específicos para uma melhor deteção de ameaças e redução da fadiga de alerta
- Playbooks e conectores personalizados de Aplicativos Lógicos do Azure fornecem recursos para cenários automatizados de investigação, correção e resposta no Microsoft Sentinel
O Microsoft Sentinel oferece esses tipos de conteúdo como soluções e itens autônomos . As soluções são pacotes de conteúdo do Microsoft Sentinel ou integrações de API do Microsoft Sentinel, que atendem a um produto, domínio ou cenário vertical do setor de ponta a ponta no Microsoft Sentinel. Tanto as soluções quanto os itens autônomos podem ser descobertos e gerenciados a partir do hub de conteúdo.
Você pode personalizar conteúdo pronto para uso (OOTB) para suas próprias necessidades ou pode criar sua própria solução com conteúdo para compartilhar com outras pessoas na comunidade. Para obter mais informações, consulte o Microsoft Sentinel Solutions Build Guide para criação e publicação de soluções.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Descubra e gerencie o conteúdo do Microsoft Sentinel
Use o hub de conteúdo do Microsoft Sentinel para descobrir e instalar centralmente conteúdo pronto para uso (OOTB).
O hub de conteúdo do Microsoft Sentinel oferece capacidade de descoberta no produto, implantação em uma única etapa e habilitação de soluções e conteúdo OOTB de ponta a ponta de produto, domínio e/ou vertical no Microsoft Sentinel.
Filtre por categorias e outros parâmetros, ou use a poderosa pesquisa de texto, para encontrar o conteúdo que funciona melhor para as necessidades da sua organização.
O hub Conteúdo também indica o modelo de suporte aplicado a cada parte do conteúdo, já que alguns conteúdos são mantidos pela Microsoft e outros são mantidos por parceiros ou pela comunidade.
Gerencie atualizações para conteúdo pronto para uso no hub de conteúdo. Ou, para conteúdo personalizado, gerencie atualizações da página Repositórios . Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.
Personalize conteúdo pronto para uso para suas próprias necessidades ou crie conteúdo personalizado, incluindo regras de análise, consultas de busca, blocos de anotações, pastas de trabalho e muito mais.
Gerencie seu conteúdo personalizado diretamente em seu espaço de trabalho do Microsoft Sentinel usando a API do Microsoft Sentinel ou de seu próprio repositório de controle de origem. Para obter mais informações, consulte API do Microsoft Sentinel e Implantar conteúdo personalizado do repositório.
Porquê soluções de hub de conteúdo?
As soluções Microsoft Sentinel são integrações empacotadas que fornecem valor de produto de ponta a ponta para um ou mais cenários verticais ou de domínio no hub de conteúdo.
A experiência de soluções, desenvolvida pelo Azure Marketplace, ajuda-o a descobrir e implementar o conteúdo que pretende. Para obter mais informações sobre como criar e publicar soluções no Azure Marketplace, consulte o Guia de Criação de Soluções Microsoft Sentinel.
O conteúdo empacotado é uma coleção de um ou mais componentes do conteúdo do Microsoft Sentinel, como conectores de dados, pastas de trabalho, regras de análise, playbooks, consultas de caça, listas de observação, analisadores e muito mais.
As integrações incluem serviços ou ferramentas criados usando o Microsoft Sentinel ou APIs do Azure Log Analytics que oferecem suporte a integrações entre o Azure e aplicativos de clientes existentes, ou migram dados, consultas e muito mais desses aplicativos para o Microsoft Sentinel.
Você também pode usar soluções para instalar pacotes de conteúdo pronto para uso (OOTB) em uma única etapa, onde o conteúdo geralmente está pronto para uso imediatamente. Os fornecedores e parceiros utilizam as soluções Sentinel para acrescentar valor aos investimentos dos seus clientes, fornecendo um produto, domínio ou valor vertical combinado.
Use o hub de conteúdo para descobrir e implantar centralmente soluções e conteúdo OOTB de maneira orientada por cenários.
Para obter mais informações, consulte:
- Descubra e implante centralmente conteúdo e soluções prontos para uso do Microsoft Sentinel
- Catálogo de soluções Microsoft Sentinel no Azure Marketplace
- Catálogo do Microsoft Sentinel
Categorias para conteúdo e soluções prontos para uso do Microsoft Sentinel
O conteúdo pronto para uso do Microsoft Sentinel pode ser aplicado com uma ou mais das seguintes categorias. No hub Conteúdo, selecione as categorias que deseja exibir para alterar o conteúdo exibido. Você pode descobrir itens entregues pela comunidade centralmente no hub de conteúdo como conteúdo ou soluções independentes.
Categorias de domínio
| Nome da categoria | Description |
|---|---|
| Aplicação | Carga de trabalho Web, baseada em servidor, SaaS, banco de dados, comunicações ou produtividade |
| Fornecedor de Cloud | Serviço cloud |
| Conformidade | Produtos, serviços e protocolos de conformidade |
| DevOps | Ferramentas e serviços de operações de desenvolvimento |
| Identidade | Provedores de serviços de identidade e integrações |
| Internet das Coisas (IoT) | IoT, dispositivos de tecnologia operacional (OT) e infraestrutura, serviços de controle industrial |
| Operações de TI | Gestão de produtos e serviços de TI |
| Migração | Produtos, serviços e serviços de habilitação de migração |
| Rede | Produtos, serviços e ferramentas de rede |
| Plataforma | Componentes genéricos ou de estrutura do Microsoft Sentinel, infraestrutura de nuvem e plataforma |
| Segurança - Outros | Outros produtos e serviços de segurança sem outra categoria clara |
| Segurança - Inteligência de ameaças | Plataformas, feeds, produtos e serviços de inteligência contra ameaças |
| Segurança - Proteção contra ameaças | Proteção contra ameaças, proteção de e-mail, deteção e resposta estendidas (XDR) e produtos e serviços de proteção de endpoint |
| Segurança - Vulnerabilidade de 0 dia | Soluções especializadas para ataques de vulnerabilidade de dia zero como o Nobelium |
| Segurança - Automação (SOAR) | Automações de segurança, SOAR (Security Operations and Automated Responses), operações de segurança e produtos e serviços de resposta a incidentes. |
| Segurança - Segurança na nuvem | CASB (Cloud Access Service Broker), CWPP (Cloud workload protection platforms), CSPM (Cloud security posture management e outros produtos e serviços Cloud Security |
| Segurança - Proteção de Informações | Produtos e serviços de proteção de informações e de documentos |
| Segurança - Ameaça interna | Ameaça interna e análise comportamental de usuários e entidades (UEBA) para produtos e serviços de segurança |
| Segurança - Rede | Dispositivos de rede de segurança, firewall, NDR (deteção e resposta de rede), NIDP (prevenção de intrusão e deteção de rede) e captura de pacotes de rede |
| Segurança - Gestão de Vulnerabilidades | Produtos e serviços de gestão de vulnerabilidades |
| Armazenamento | Armazenamentos de arquivos e produtos e serviços de compartilhamento de arquivos |
| Formação e Tutoriais | Treinamento, tutoriais e ativos de integração |
| Comportamento do Usuário (UEBA) | Produtos e serviços de análise do comportamento do usuário |
Categorias verticais da indústria
| Nome da categoria | Description |
|---|---|
| Aeronáutica | Produtos, serviços e conteúdos específicos para a indústria aeronáutica |
| Formação Académica | Produtos, serviços e conteúdos específicos para a indústria da educação |
| Finance | Produtos, serviços e conteúdo específicos para o setor financeiro |
| Cuidados de Saúde | Produtos, serviços e conteúdos específicos para a indústria dos cuidados de saúde |
| Indústrias transformadoras | Produtos, serviços e conteúdos específicos para a indústria transformadora |
| Retail | Produtos, serviços e conteúdo específicos para o setor de varejo |
Modelos de suporte para conteúdo e soluções prontos para uso do Microsoft Sentinel
Tanto a Microsoft como outras organizações criam conteúdo e soluções prontos para uso do Microsoft Sentinel. Cada parte do conteúdo ou solução pronta para uso tem um dos seguintes tipos de suporte:
| Modelo de suporte | Description |
|---|---|
| Suportado pela Microsoft | Aplica-se a: - Conteúdo/soluções em que a Microsoft é o fornecedor de dados, quando relevante, e autor. - Alguns conteúdos/soluções criados pela Microsoft para fontes de dados que não sejam da Microsoft. A Microsoft suporta e mantém conteúdo/soluções neste modelo de suporte de acordo com os Planos de Suporte do Microsoft Azure. Os parceiros ou a Comunidade suportam conteúdos ou soluções criados por qualquer entidade que não a Microsoft. |
| Suportado por parceiros | Aplica-se a conteúdos/soluções criados por terceiros que não a Microsoft. A empresa parceira fornece suporte ou manutenção para esses conteúdos/soluções. A empresa parceira pode ser um Fornecedor Independente de Software, um Provedor de Serviços Gerenciados (MSP/MSSP), um Integrador de Sistemas (SI) ou qualquer organização cujas informações de contato sejam fornecidas na página Microsoft Sentinel para o conteúdo/soluções selecionados. Para quaisquer problemas com uma solução suportada pelo parceiro, entre em contato com o contato de suporte especificado. |
| Suportado pela comunidade | Aplica-se a conteúdo ou soluções criadas pela Microsoft ou desenvolvedores parceiros sem contatos listados para suporte e manutenção no Microsoft Sentinel. Para perguntas ou problemas com essas soluções, registre um problema na comunidade do Microsoft Sentinel GitHub. |
Fontes de conteúdo para conteúdo e soluções do Microsoft Sentinel
Cada parte do conteúdo ou solução tem uma das seguintes fontes de conteúdo:
| Fonte de conteúdo | Description |
|---|---|
| Hub de conteúdo | Soluções implantadas pelo hub de conteúdo que oferecem suporte ao gerenciamento do ciclo de vida |
| Autônomo | Conteúdo autônomo implantado pelo hub de conteúdo que é mantido atualizado automaticamente |
| Personalizadas | Conteúdo ou soluções que personalizou no seu espaço de trabalho |
| Conteúdo da galeria | Conteúdo das galerias de recursos que não oferecem suporte ao gerenciamento do ciclo de vida. Esta fonte de conteúdo será aposentada em breve. Para obter mais informações, consulte Alterações de centralização de conteúdo OOTB. |
| Repositórios | Conteúdo ou soluções de um repositório conectado ao seu espaço de trabalho |
Próximos passos
Descubra e instale soluções e conteúdo autónomo a partir do hub de conteúdo na sua área de trabalho do Microsoft Sentinel.
Para obter mais informações, consulte: