О содержимом и решениях Microsoft Sentinel
Содержимое Microsoft Sentinel — это компоненты решения управления сведениями и событиями безопасности (SIEM), которые позволяют клиентам получать данные, отслеживать, оповещать, охотиться, исследовать, реагировать и подключаться к различным продуктам, платформам и службам.
Содержимое в Microsoft Sentinel включает любой из следующих типов:
- Соединители данных обеспечивают прием журналов из разных источников в Microsoft Sentinel.
- Средства синтаксического анализа обеспечивают форматирование и преобразование журнала в форматы расширенной информационной модели безопасности (ASIM), поддерживая использование различных типов и сценариев контента Microsoft Sentinel.
- Книги обеспечивают мониторинг, визуализацию и возможности интерактивного взаимодействия с данными в Microsoft Sentinel, выделяя важные сведения для пользователей.
- Правила аналитики предоставляют оповещения, которые указывают на соответствующие действия SOC через инциденты
- Запросы охоты используются командами SOC для упреждающего поиска угроз в Microsoft Sentinel.
- Записные книжки помогают командам SOC использовать расширенные функции поиска в Jupyter и Azure Notebooks.
- Списки наблюдения поддерживают прием определенных данных для более эффективного обнаружения угроз и снижения утомляемости оповещений.
- Сборники схем и пользовательские соединители Azure Logic Apps предоставляют функции автоматического исследования, исправления и реагирования в Microsoft Sentinel
Microsoft Sentinel предлагает эти типы контента в качестве решений и автономных элементов. Решения — это пакеты интеграции содержимого Microsoft Sentinel или API Microsoft Sentinel, которые выполняют комплексный продукт, домен или отраслевый вертикальный сценарий в Microsoft Sentinel. Решения и автономные элементы доступны для обнаружения и управления ими из концентратора контента.
Вы можете настроить содержимое из коробки (OOTB) для собственных потребностей или создать собственное решение с содержимым для совместного использования с другими пользователями в сообществе. Дополнительные сведения см. в руководстве по сборке решений Microsoft Sentinel для разработки и публикации решений.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Обнаружение и администрирование содержимого Microsoft Sentinel
Используйте центр содержимого Microsoft Sentinel для централизованного обнаружения и установки содержимого из коробки (OOTB).
Центр содержимого Microsoft Sentinel предоставляет возможности обнаружения продуктов, одношагового развертывания и включения комплексных решений, доменов и или вертикальных решений OOTB в Microsoft Sentinel.
Фильтруйте по категориям и другим параметрам или используйте мощный текстовый поиск, чтобы найти содержимое, лучшее для потребностей вашей организации.
Центр содержимого также определяет модель поддержки, применяемую к каждому элементу содержимого, так как некоторые материалы поддерживаются корпорацией Майкрософт, а другие поддерживаются партнерами или сообществом.
Управление обновлениями для содержимого вне поля в центре контента. Кроме того, для пользовательского содержимого можно управлять обновлениями на странице репозиториев . Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Настройте готовое содержимое для своих нужд или создайте собственное содержимое включая правила аналитики, поисковые запросы, записные книжки, книги и многое другое.
Управляйте пользовательским содержимым непосредственно в рабочей области Microsoft Sentinel с помощью API Microsoft Sentinel или из собственного репозитория системы управления версиями. Дополнительные сведения см. в api Microsoft Sentinel и развертывании пользовательского содержимого из репозитория.
Почему решения концентратора содержимого?
Решения Microsoft Sentinel упаковывают интеграцию, которая обеспечивает комплексное значение продукта для одного или нескольких доменов или вертикальных сценариев в центре содержимого.
Интерфейс решений, на базе Azure Marketplace, помогает обнаруживать и развертывать нужное содержимое. Дополнительные сведения о создании и публикации решений в Azure Marketplace см . в руководстве по созданию решений Microsoft Sentinel.
Упакованое содержимое — это коллекции одного или нескольких компонентов содержимого Microsoft Sentinel, таких как соединители данных, книги, правила аналитики, сборники схем, поисковые запросы, списки наблюдения, синтаксический анализ и многое другое.
Интеграции включают службы или инструменты, созданные с помощью Microsoft Sentinel или API Azure Log Analytics, которые поддерживают интеграцию между Azure и существующими клиентскими приложениями или переносят данные, запросы и многое другое из этих приложений в Microsoft Sentinel.
Вы также можете использовать решения для установки пакетов содержимого из коробки (OOTB) на одном шаге, где содержимое часто готово к использованию немедленно. Поставщики и партнеры используют решения Sentinel для добавления ценности в инвестиции своих клиентов путем предоставления объединенного продукта, домена или вертикального значения.
Используйте центр контента для централизованного обнаружения и развертывания решений и содержимого OOTB на основе сценария.
Дополнительные сведения см. в разделе:
- Централизованное обнаружение и развертывание готового содержимого и решений Microsoft Sentinel
- Каталог решений Microsoft Sentinel в Azure Marketplace
- Каталог Microsoft Sentinel
Категории готового содержимого и готовых решений Microsoft Sentinel
Готовое содержимое Microsoft Sentinel может быть применено к одной или нескольким из следующих категорий. В центре содержимого выберите категории, которые требуется просмотреть, чтобы изменить отображаемое содержимое. Вы можете обнаружить элементы сообщества, доставленные централизованно в Центре контента, как автономное содержимое или решения.
Категории доменов
| Название категории | Description |
|---|---|
| Приложение | Интернет, серверная часть, SaaS, база данных, обмен данными или производственная рабочая нагрузка |
| Поставщик облачных служб | Облачная служба |
| Соблюдение закона | Продукт, услуги и протоколы соответствия |
| DevOps | Средства и службы для разработки |
| Identity | Поставщики службы идентификации и интеграции |
| Интернет вещей (IoT) | Устройства Интернета вещей, операционные технологии (OT) и инфраструктура, промышленные службы управления |
| ИТ-операции | Продукты и службы, управляющие ИТ |
| Миграция | Продукты и услуги для обеспечения миграции |
| Сеть | Сетевые продукты, службы и средства |
| Платформа | Общие компоненты или компоненты платформы Microsoft Sentinel, облачная инфраструктура и платформа |
| Безопасность: другие аспекты | Другие продукты и службы для обеспечения безопасности без четкой категории. |
| Безопасность: аналитика угроз | Платформы, каналы, продукты и службы для анализа угроз. |
| Безопасность: защита от угроз | Защита от угроз, защита электронной почты, расширенное обнаружение и ответ (XDR) и продукты и службы защиты конечных точек |
| Безопасность — 0-дневная уязвимость | Специализированные решения против атак с уязвимостью нулевого дня, таких как Nobelium. |
| Безопасность — автоматизация (SOAR) | Автоматизация безопасности, SOAR (операции безопасности и автоматические ответы), операции безопасности, а также продукты и службы реагирования на инциденты. |
| Безопасность — Cloud Security | CASB (Cloud Access Service Broker), CWPP (платформы защиты облачных рабочих нагрузок), CSPM (управление состоянием облачной безопасности и другие продукты и службы для обеспечения облачной безопасности). |
| Безопасность — Information Protection | Продукты и услуги для защиты информации и документов. |
| Безопасность — угроза предварительной оценки | Внутренние угрозы и аналитика поведения пользователей и организаций (UEBA) для продуктов и служб безопасности. |
| Безопасность — сеть | Безопасность сетевых устройств, брандмауэр, отчет о недоставке (сетевое обнаружение и ответ), NIDP (сетевое вторжение и предотвращение обнаружения) и захват сетевых пакетов. |
| Безопасность — управление уязвимостями | Продукты и службы для управления уязвимостями. |
| Память | Хранилища файлов, а также продукты и службы для обмена файлами. |
| Обучение и руководства | Обучение, руководства и ресурсы для подключения. |
| Поведение пользователя (UEBA) | Продукты и службы для анализа поведения пользователей. |
Отраслевые категории (вертикаль)
| Название категории | Description |
|---|---|
| Воздухоплавание | Продукты, службы и содержимое, относящиеся к авиационной отрасли |
| Образование | Продукты, службы и содержимое, относящиеся к сфере образования |
| Finance | Продукты, службы и содержимое, относящиеся к финансовой отрасли |
| Здравоохранение | Продукты, службы и содержимое, относящиеся к отрасли здравоохранения |
| Производство | Продукты, службы и содержимое, относящиеся к промышленной отрасли |
| Розничная торговля | Продукты, службы и содержимое, относящиеся к отрасли розничной торговли |
Модели поддержки готового содержимого и готовых решений Microsoft Sentinel
Как Microsoft, так и другие организации создают готовое содержимое и решения для Microsoft Sentinel. Каждое готовое содержимое и решение имеет один из следующих типов поддержки:
| Модель поддержки | Description |
|---|---|
| Поддержка Майкрософт | Применимо к: — Содержимое и решения, где корпорация Майкрософт является поставщиком данных, где это уместно, и автором. — Некоторое содержимое и решения, созданные корпорацией Майкрософт, для источников данных, отличных от источников данных Майкрософт. Корпорация Майкрософт поддерживает и обслуживает содержимое и решения в рамках этой модели поддержки в соответствии с планами поддержки Microsoft Azure. Партнеры или сообщество поддерживают содержимое или решения, созданные любой стороной, отличной от корпорации Майкрософт. |
| Поддерживаемые партнерами | Применяется к содержимому и решениям, созданным сторонами, отличными от корпорации Майкрософт. Партнерская компания обеспечивает поддержку или техническое обслуживание этих блоков содержимого и решений. Партнерская компания может быть независимым поставщиком программного обеспечения, поставщиком управляемых услуг (MSP/MSSP), системным интегратором (SI) или любой организацией, чья контактная информация указана на странице Microsoft Sentinel для выбранных содержимого и решений. По любым вопросам, связанным с решением, поддерживаемым партнером, обращайтесь к указанному контактному лицу службы поддержки. |
| Поддерживаемые сообществом | Применяется к содержимому или решениям, созданным корпорацией Майкрософт или разработчиками партнеров без указанных контактов для поддержки и обслуживания в Microsoft Sentinel. При возникновении вопросов или проблем, связанных с такими решениями, можно сообщить о проблеме в сообществе Microsoft Sentinel на GitHub. |
Источники содержимого и решений Microsoft Sentinel
Каждый компонент содержимого и каждое решение имеют один из следующих источников:
| Источник | Description |
|---|---|
| Центр содержимого | Решения, развернутые центром контента, поддерживающим управление жизненным циклом |
| Автономный | Автономное содержимое, развернутые центром контента, которое автоматически обновляется |
| Пользовательское | Содержимое или решения, настроенные в рабочей области |
| Содержимое коллекции | Содержимое из коллекций компонентов, которые не поддерживают управление жизненным циклом. Этот источник содержимого скоро отставается. Дополнительные сведения см. в статье об изменениях централизации содержимого OOTB. |
| Репозитории | Содержимое или решения из репозитория, подключенного к рабочей области |
Следующие шаги
Обнаружение и установка решений и автономного содержимого из концентратора контента в рабочей области Microsoft Sentinel.
Дополнительные сведения см. в разделе: