Поделиться через

Изменения централизации содержимого в Microsoft Sentinel вне коробки

  • Статья

Центр содержимого Microsoft Sentinel обеспечивает обнаружение и установку по запросу содержимо ТБ го и решений по запросу на одном шаге. Ранее некоторые из этого OO ТБ содержимое существовало только в различных разделах коллекции Microsoft Sentinel. Теперь все следующие шаблоны содержимого коллекции доступны в концентраторе контента как автономные элементы или как часть упакованных решений:

  • Соединители данных
  • Шаблоны правил аналитики
  • Запросы слежения
  • Шаблоны сборников схем
  • шаблоны книг;

Изменения концентратора содержимого

Чтобы централизованно использовать все содержимое OO ТБ, мы удалили шаблоны контента только для коллекции. Устаревшие шаблоны содержимого коллекции больше не обновляются последовательно, и центр содержимого находится в том месте, где OO ТБ содержимое остается актуальным. Центр содержимого также предоставляет обновленные рабочие процессы для решений и автоматических обновлений для автономного содержимого.

Чтобы упростить этот переход, мы опубликовали центральное средство для восстановления шаблонов IN USE с устаревшими шаблонами из соответствующих решений концентратора содержимого.

Восстановление устаревших шаблонов IN USE с помощью центрального средства

Теперь, когда централизация центра содержимого завершена, вот общие сведения о том, как завершить процесс восстановления центрального инструмента.

  1. Выберите ссылку в баннере предупреждения, чтобы восстановить устаревшие шаблоны содержимого IN USE , доступные только для коллекции.

    На этом снимке экрана показан пример баннера предупреждения, найденного в коллекции книг . Screenshot showing orange warning banner with link to initiate central tool.

  2. Выберите ссылку и внимательно прочитайте страницу.

  3. Нажмите кнопку "Продолжить " и просмотрите список содержимого, который создает средство.

    Screenshot shows central tool page including details on how to use it.

  4. Нажмите кнопку "Полная централизация" , чтобы начать установку. Выбор исправлен и не может быть изменен.

    Screenshot shows the list of content the tool generates.

Изменение страницы соединителя данных

Все соединители данных теперь являются частью решения. Ранее для продвижения визуализаций панели мониторинга (теперь называемых книгами) и предоставления примеров запросов KQL мы включили несколько этих элементов на вкладке "Дальнейшие шаги " на странице соединителя данных. Мы нерекомендуем часть страницы соединителя данных в пользу нового поведения содержимого решения, где все компоненты решения управляются вместе с соединителем данных.

Ключом к возникновению обновленного поведения является запуск в Центре контента. Для сравнения предыдущего поведения с новым интерфейсом изучите соединитель данных о действиях Azure. После установки решения из центра содержимого и выбора "Управление" все решение доступно для проверки. Если требуется визуализация соединителя данных действий Azure, просмотрите шаблон книги. Если вы хотите просмотреть запросы KQL, начните с таблицы данных. Дополнительные запросы см. в правилах аналитики и запросах охоты.

Дополнительные сведения о новом поведении содержимого решения см. в статье "Обнаружение и развертывание OO ТБ содержимого".

Если был определенный пример запроса для стороннего соединителя данных, который вы ищете, мы по-прежнему публикуем их в индексе "Все соединители ". Например, ниже приведены примеры запросов для соединителя Jamf Protect.

Изменения Microsoft Sentinel GitHub

Microsoft Sentinel имеет официальный репозиторий GitHub для вклада сообщества, проверенного корпорацией Майкрософт и сообществом. Это источник для большинства элементов содержимого в концентраторе контента.

Для согласованного обнаружения этого содержимого OO ТБ изменения централиализации содержимого уже были расширены в репозитории Microsoft Sentinel GitHub:

  • Все OO ТБ содержимое, упакованое из решений центра контента, теперь хранится в папке решений репозитория GitHub.
  • Все автономные элементы OO ТБ будут оставаться в соответствующих расположениях.

Эти изменения в центре содержимого и репозитории Microsoft Sentinel GitHub завершат процесс централизованного управления содержимым Microsoft Sentinel.

Когда происходит это изменение?

Изменения централизации были выпущены! Изменения Microsoft Sentinel GitHub уже произошли. Автономное содержимое доступно в существующих папках GitHub, а содержимое решения было перемещено в папку Solutions .

Изменение вкладки "Дальнейшие шаги " уже завершено.

Область изменения

Это изменение область только для типа контента коллекции шаблонов. Все эти же шаблоны и многое другое содержимое OO ТБ доступны в концентраторе контента как решения или автономное содержимое.

Для репозитория Microsoft Sentinel GitHub OO ТБ содержимое, упаковаемое в решениях в центре содержимого, теперь отображается только в папке решений репозитория GitHub. Другое существующее содержимое GitHub область в следующие папки и содержит только автономные элементы содержимого. Содержимое в оставшихся папках GitHub не упоминание в этом списке не имеет изменений.

Что осталось прежним?

Это изменение не влияет на активные или пользовательские элементы (созданные из шаблонов или в противном случае). В частности, это изменение не влияет на следующие элементы:

  • Соединители данных с состоянием = Подключение ed.
  • Правила оповещений или обнаружения (включено или отключено) на вкладке "Активные правила " в коллекции аналитики.
  • Сохраненные книги на вкладке "Мои книги" в коллекции книг.
  • Клонированного содержимого или источника = контента Custom в коллекции охоты.
  • Активные сборники схем (включено или отключено) на вкладке "Активные сборники схем" в коллекции автоматизации.

Это изменение также не влияет на любые OO ТБ шаблоны контента, установленные из концентратора контента (идентифицируемый как концентратор содержимого источника = контента).

Изменения

Все коллекции шаблонов теперь отображают баннер предупреждения о продукте. Этот баннер содержит ссылку на средство, которое будет выполняться на портале Microsoft Sentinel. Активация средства запускает интерактивный интерфейс для восстановления шаблонов содержимого для шаблонов, устаревших в IN USE , из концентратора содержимого.

Это средство должно выполняться только один раз на рабочую область, поэтому обязательно планируйте свою организацию. После успешного запуска средства баннер предупреждения исчезнет из коллекций шаблонов этой рабочей области.

В следующей таблице перечислены конкретные последствия для шаблонов контента для каждой из этих коллекций. Ожидайте, что эти изменения теперь, когда централизация содержимого находится в режиме реального времени ТБ.

Content type Воздействие
Соединители данных Шаблоны, идентифицируемые как содержимое коллекции источников = контента и состояние = "Не подключено", больше не будут отображаться в коллекции соединителей данных.
Аналитика Шаблоны, идентифицируемые как содержимое коллекции имен = источника, больше не будут отображаться в коллекции аналитики.
Охота Шаблоны с контентом из исходной = коллекции контента больше не будут отображаться в коллекции охоты.
Сборники тренировочных заданий Шаблоны, идентифицируемые как содержимое коллекции имен = источника, больше не будут отображаться в коллекции сборников схем автоматизации.
книги Шаблоны с содержимым коллекции источников = контента больше не будут отображаться в коллекции книг.

Ниже приведен пример правила аналитики до и после внесения изменений в централизацию и запуска средства.

  • Правило активной аналитики не изменится вообще. Он основан на шаблоне правила аналитики, который будет прекращен.

    Screenshot that shows an active analytics rule before centralization changes.

    На снимках экрана показан шаблон правила аналитики, который будет прекращен.

    Screenshot that shows the analytics rule template that will be retired.

  • После запуска средства для восстановления шаблона правила аналитики исходный код изменяется на решение, которое оно восстановлено.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

Требуется действие

  • Установите новое содержимое OO ТБ из центра содержимого и обновите решения по мере необходимости, чтобы иметь последние версии шаблонов.
  • Для существующих шаблонов контента коллекции, используемых, получите будущие обновления, установив решения или автономные элементы содержимого из концентратора контента. Содержимое коллекции в коллекциях компонентов может быть устаревшим.
  • Если у вас есть приложения или процессы, которые напрямую получают содержимое OO ТБ из репозитория Microsoft Sentinel GitHub, обновите расположения, чтобы включить получение OO ТБ содержимое из папки "Решения" в дополнение к существующим папкам содержимого.
  • Запланируйте с вашей организацией, которая будет запускать инструмент, и когда теперь, когда появится баннер предупреждения и изменения. Средство должно запуститься один раз в рабочей области, чтобы восстановить все устаревшие шаблоны IN USE из концентратора содержимого.
  • Ознакомьтесь со следующими часто задаваемыми вопросами, чтобы узнать больше о том, что может применяться к вашей среде.

Часто задаваемые вопросы по централизации содержимого

Это изменение влияет на создание оповещений SOC или создание инцидентов и управление ими?

Нет. Нет влияния на активные правила генерации оповещений или обнаружения, активные сборники схем, клонированные запросы охоты или сохраненные книги. Изменение централизации содержимого ТБ не повлияет на текущие процессы создания инцидентов и управления.

Существуют ли исключения для содержимого коллекции?

Да. Следующие типы шаблонов правил аналитики исключаются из этого изменения:

  • Шаблоны правил аномалий
  • Шаблоны правил Fusion
  • Шаблоны правил аналитики поведения машинного обучения (машинное обучение)
  • Шаблоны правил безопасности Майкрософт (создание инцидентов)
  • Шаблоны правил аналитики угроз

Это изменение влияет на любой из API?

Да. В настоящее время единственными вызовами REST API Microsoft Sentinel, существующими для управления шаблонами контента, являются Get List шаблоны правил генерации оповещений. Эти операции будут обновляться только шаблонами содержимого коллекции surface. Дополнительные сведения об этих операциях см. в текущем справочнике по REST API шаблонов правил генерации оповещений.

Новые операции REST API в концентраторе содержимого будут доступны в ближайшее время для включения сценариев управления содержимым ТБ. Это обновление API будет включать операции с теми же типами контента, которые область в изменениях централизации (соединители данных, шаблоны сборников схем, шаблоны книг, шаблоны правил аналитики, запросы охоты). Механизм обновления шаблонов правил аналитики, установленных в рабочей области, также находится в стратегии.

Необходимое действие. Запланируйте обновление приложений и процессов для использования нового интерфейса управления контентом ТБ операций API управления содержимым в концентраторе контента, когда они доступны. Первоначально мы выразили, что это будет доступно В 2023 году, но они еще не готовы.

Как центральное средство определит шаблоны содержимого с использованием OO ТБ?

Средство создает список решений на основе двух критериев: соединителей данных с шаблонами схем status = Подключение ed и IN USE. После создания предлагаемого списка решений средство отобразит список для утверждения. Если список утвержден, средство устанавливает все эти решения. Так как содержимое OO ТБ восстановлено на основе решений, вы можете получить больше шаблонов, чем вы на самом деле используете.

Это центральное средство является лучшим средством для получения шаблонов контента IN USE OO ТБ восстановленных из концентратора контента. Вы можете установить опущенное содержимое OO ТБ непосредственно из концентратора контента.

Что делать, если api-интерфейсы используются для подключения источников данных в рабочей области Microsoft Sentinel?

В настоящее время, если подключение к данным API соответствует типу данных соединителя данных, оно будет отображаться как состояние = Подключение в коллекции соединителей данных. После изменения централизации необходимо установить конкретный соединитель данных из соответствующего решения, чтобы получить то же поведение.

Необходимое действие. Запланируйте обновление процессов или инструментов для развертываний соединителя данных для установки из решений концентратора контента перед подключением к API приема данных. Оператор REST API для установки решения будет поступать в Q2 2023 с помощью API управления содержимым ТБ.

Что делать, если я работаю с содержимым с помощью функции репозиториев в Microsoft Sentinel?

Репозитории специально развертывают пользовательское или активное содержимое в Microsoft Sentinel. Изменения централиализации содержимого ТБ не влияют на содержимое, развернутое с помощью функции репозиториев.

Влияет ли это на группы развертывания в диспетчере рабочих областей?

Как и в репозиториях, диспетчер рабочих областей развертывает только пользовательское или активное содержимое, поэтому централизация содержимого ТБ не влияет на содержимое, развернутое с помощью диспетчера рабочих областей.

Следующие шаги

Ознакомьтесь с этими другими ресурсами для OO ТБ содержимого и концентратора содержимого: