Om Microsoft Sentinel-innehåll och -lösningar
Microsoft Sentinel-innehåll är SIEM-lösningskomponenter (Security Information and Event Management) som gör det möjligt för kunder att mata in data, övervaka, varna, jaga, undersöka, svara och ansluta till olika produkter, plattformar och tjänster.
Innehållet i Microsoft Sentinel innehåller någon av följande typer:
- Dataanslutningar tillhandahåller logginmatning från olika källor till Microsoft Sentinel
- Parsare tillhandahåller loggformatering/omvandling till ASIM-format (Advanced Security Information Model) med stöd för användning i olika Microsoft Sentinel-innehållstyper och scenarier
- Arbetsböcker ger övervakning, visualisering och interaktivitet med data i Microsoft Sentinel, vilket belyser meningsfulla insikter för användare
- Analysregler tillhandahåller aviseringar som pekar på relevanta SOC-åtgärder via incidenter
- Jaktfrågor används av SOC-team för att proaktivt jaga efter hot i Microsoft Sentinel
- Notebook-filer hjälper SOC-team att använda avancerade jaktfunktioner i Jupyter och Azure Notebooks
- Visningslistor stöder inmatning av specifika data för förbättrad hotidentifiering och minskad varningströtthet
- Spelböcker och anpassade Azure Logic Apps-anslutningsappar tillhandahåller funktioner för automatiserade undersöknings-, reparations- och svarsscenarier i Microsoft Sentinel
Microsoft Sentinel erbjuder dessa innehållstyper som lösningar och fristående objekt. Lösningar är paket med Microsoft Sentinel-innehåll eller Microsoft Sentinel API-integreringar som uppfyller ett produkt-, domän- eller bransch vertikalt scenario från slutpunkt till slutpunkt i Microsoft Sentinel. Både lösningar och fristående objekt kan identifieras och hanteras från innehållshubben.
Du kan antingen anpassa OOTB-innehåll (out-of-the-box) för dina egna behov, eller så kan du skapa en egen lösning med innehåll att dela med andra i communityn. Mer information finns i Byggguiden för Microsoft Sentinel-lösningar för lösningars redigering och publicering.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Identifiera och hantera Microsoft Sentinel-innehåll
Använd Microsoft Sentinel-innehållshubben för att centralt identifiera och installera OOTB-innehåll (out-of-the-box).
Microsoft Sentinel-innehållshubben tillhandahåller produktidentifiering, distribution i ett steg och aktivering av produkter, domäner och/eller vertikala OOTB-lösningar och innehåll från slutpunkt till slutpunkt i Microsoft Sentinel.
Filtrera efter kategorier och andra parametrar, eller använd den kraftfulla textsökningen för att hitta det innehåll som fungerar bäst för organisationens behov.
Innehållshubben anger också den supportmodell som tillämpas på varje innehåll, eftersom vissa innehåll underhålls av Microsoft och andra underhålls av partner eller communityn.
Hantera uppdateringar för inbyggt innehåll i innehållshubben. Eller hantera uppdateringar från sidan Lagringsplatser för anpassat innehåll. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.
Anpassa det färdiga innehållet efter dina egna behov eller skapa anpassat innehåll, inklusive analysregler, jaktfrågor, notebook-filer, arbetsböcker med mera.
Hantera ditt anpassade innehåll direkt på din Microsoft Sentinel-arbetsyta med hjälp av Microsoft Sentinel-API:et eller från din egen lagringsplats för källkontroll. Mer information finns i Microsoft Sentinel API och Distribuera anpassat innehåll från din lagringsplats.
Varför innehållshubblösningar?
Microsoft Sentinel-lösningar är paketerade integreringar som levererar produktvärde från slutpunkt till slutpunkt för en eller flera domäner eller vertikala scenarier i innehållshubben.
Lösningsupplevelsen, som drivs av Azure Marketplace, hjälper dig att identifiera och distribuera önskat innehåll. Mer information om hur du redigerar och publicerar lösningar på Azure Marketplace finns i byggguiden för Microsoft Sentinel-lösningar.
Paketerat innehåll är samlingar av en eller flera komponenter i Microsoft Sentinel-innehåll, till exempel dataanslutningsprogram, arbetsböcker, analysregler, spelböcker, jaktfrågor, visningslistor, parsare med mera.
Integreringar omfattar tjänster eller verktyg som skapats med hjälp av Api:er för Microsoft Sentinel eller Azure Log Analytics som stöder integreringar mellan Azure och befintliga kundprogram, eller migrerar data, frågor med mera, från dessa program till Microsoft Sentinel.
Du kan också använda lösningar för att installera paket med OOTB-innehåll (out-of-the-box) i ett enda steg, där innehållet ofta är redo att användas omedelbart. Leverantörer och partner använder Sentinel-lösningar för att öka värdet för sina kunders investeringar genom att leverera kombinerat produkt-, domän- eller vertikalvärde.
Använd innehållshubben för att centralt identifiera och distribuera lösningar och OOTB-innehåll på ett scenariodrivet sätt.
Mer information finns i:
- Identifiera och distribuera innehåll och lösningar för Microsoft Sentinel centralt
- Microsoft Sentinel-lösningskatalog på Azure Marketplace
- Microsoft Sentinel-katalog
Kategorier för innehåll och lösningar i Microsoft Sentinel
Microsoft Sentinels färdiga innehåll kan användas med en eller flera av följande kategorier. I innehållshubben väljer du de kategorier som du vill visa för att ändra innehållet som visas. Du kan identifiera community-levererade objekt centralt i Innehållshubben som fristående innehåll eller lösningar.
Domänkategorier
| Kategorinamn | beskrivning |
|---|---|
| Program | Arbetsbelastning för webb, serverbaserad, SaaS, databas, kommunikation eller produktivitet |
| Molnleverantör | Molntjänst |
| Efterlevnad | Efterlevnadsprodukt, tjänster och protokoll |
| DevOps | Verktyg och tjänster för utvecklingsåtgärder |
| Identitet | Identitetstjänstleverantörer och integreringar |
| Sakernas Internet (IoT) | IoT-enheter, ot-enheter (operational technology) och infrastruktur, industriella kontrolltjänster |
| IT-åtgärder | Produkter och tjänster som hanterar IT |
| Migrering | Produkter, tjänster och migreringsaktivering |
| Nätverk | Nätverksprodukter, tjänster och verktyg |
| Plattform | Allmänna komponenter eller ramverkskomponenter i Microsoft Sentinel, molninfrastruktur och plattform |
| Säkerhet – andra | Andra säkerhetsprodukter och tjänster utan någon annan tydlig kategori |
| Säkerhet – Hotinformation | Plattformar, feeds, produkter och tjänster för hotinformation |
| Säkerhet – Skydd mot hot | Hotskydd, e-postskydd, utökad identifiering och svar (XDR) och produkter och tjänster för slutpunktsskydd |
| Säkerhet – 0 dagars sårbarhet | Specialiserade lösningar för nolldagars sårbarhetsattacker som Nobelium |
| Säkerhet – Automation (SOAR) | Säkerhetsautomatiseringar, SOAR (säkerhetsåtgärder och automatiserade svar), säkerhetsåtgärder och produkter och tjänster för incidenthantering. |
| Säkerhet – Molnsäkerhet | CASB (Cloud Access Service Broker), CWPP (molnplattformar för arbetsbelastningsskydd), CSPM (hantering av molnsäkerhetsstatus och andra produkter och tjänster för molnsäkerhet |
| Säkerhet – Informationsskydd | Produkter och tjänster för informationsskydd och dokumentskydd |
| Säkerhet – Insiderhot | Insiderhot och användar- och entitetsbeteendeanalys (UEBA) för säkerhetsprodukter och tjänster |
| Säkerhet – nätverk | Säkerhetsnätverksenheter, brandvägg, NDR (nätverksidentifiering och svar), NIDP (skydd mot nätverksintrång och identifiering) och insamling av nätverkspaket |
| Säkerhet – Sårbarhetshantering | Produkter och tjänster för sårbarhetshantering |
| Storage | Fillager och fildelningsprodukter och -tjänster |
| Utbildning och självstudier | Utbildning, självstudier och registrering av tillgångar |
| Användarbeteende (UEBA) | Produkter och tjänster för användarbeteendeanalys |
Bransch lodräta kategorier
| Kategorinamn | beskrivning |
|---|---|
| Aeronautik | Produkter, tjänster och innehåll som är specifikt för flygindustrin |
| Utbildning | Produkter, tjänster och innehåll som är specifikt för utbildningsbranschen |
| Ekonomi | Produkter, tjänster och innehåll som är specifikt för finansbranschen |
| Hälsovård | Produkter, tjänster och innehåll som är specifikt för sjukvårdsbranschen |
| Tillverkning | Produkter, tjänster och innehåll som är specifikt för tillverkningsindustrin |
| Retail | Produkter, tjänster och innehåll som är specifikt för detaljhandeln |
Supportmodeller för innehåll och lösningar i Microsoft Sentinel
Både Microsoft och andra organisationer skapar innehåll och lösningar för Microsoft Sentinel. Varje del av det färdiga innehållet eller lösningen har någon av följande supporttyper:
| Stödmodell | beskrivning |
|---|---|
| Microsoft-stöd | Gäller för: – Innehåll/lösningar där Microsoft är dataprovider, där det är relevant, och författare. – Vissa Microsoft-skapade innehåll/lösningar för datakällor som inte kommer från Microsoft. Microsoft stöder och underhåller innehåll/lösningar i den här supportmodellen i enlighet med Microsoft Azure-supportplaner. Partner eller communityn stöder innehåll eller lösningar som skapats av någon annan part än Microsoft. |
| Partnerstödd | Gäller för innehåll/lösningar som skapats av andra parter än Microsoft. Partnerföretaget tillhandahåller support eller underhåll för dessa delar av innehåll/lösningar. Partnerföretaget kan vara en oberoende programvaruleverantör, en hanterad tjänstleverantör (MSP/MSSP), en systemintegrerare (SI) eller en organisation vars kontaktinformation finns på Sidan Microsoft Sentinel för det valda innehållet/lösningarna. Om du har problem med en lösning som stöds av partner kontaktar du den angivna supportkontakten. |
| Community-stödd | Gäller för innehåll eller lösningar som skapats av Microsoft eller partnerutvecklare utan angivna kontakter för support och underhåll i Microsoft Sentinel. För frågor eller problem med dessa lösningar kan du skapa ett problem i Microsoft Sentinel GitHub-communityn. |
Innehållskällor för Microsoft Sentinel-innehåll och -lösningar
Varje innehåll eller lösning har någon av följande innehållskällor:
| Innehållskälla | beskrivning |
|---|---|
| Innehållshubben | Lösningar som distribueras av innehållshubben som stöder livscykelhantering |
| Fristående | Fristående innehåll som distribueras av innehållshubben som automatiskt hålls uppdaterat |
| Egen | Innehåll eller lösningar som du har anpassat på din arbetsyta |
| Galleriinnehåll | Innehåll från funktionsgallerier som inte stöder livscykelhantering. Den här innehållskällan dras snart tillbaka. Mer information finns i Ändringar i OOTB-innehållscentralisering. |
| Databaser | Innehåll eller lösningar från en lagringsplats som är ansluten till din arbetsyta |
Nästa steg
Identifiera och installera lösningar och fristående innehåll från innehållshubben på din Microsoft Sentinel-arbetsyta.
Mer information finns i: