簡介
Microsoft Sentinel 內容 為安全性資訊與事件管理 (SIEM) 內容,允許客戶內嵌資料、監視器、警示、搜捕、調查、回應,並在 Microsoft Sentinel 中與不同產品、平台和服務連結。
Microsoft Sentinel 中的內容包含以下任何類型:
- 資料連接器 提供從不同資料來源至 Microsoft Sentinel 的記錄擷取
- 頗溪 提供記錄調整格式/轉換至 ASIM 格式,支援跨不同 Microsoft Sentinel 內容類型與案例的使用情況。
- 活頁簿 提供 Microsoft Sentinel 中的監視、視覺效果和與資料的互動功能,為使用者醒目提示有意義的深入解析。
- 分析 規則透過事件提供指向相關 SOC 動作的警示
- SOC 團隊使用 搜捕查詢 在 Microsoft Sentinel 主動搜捕威脅
- 筆記本 可協助 SOC 團隊在 Jupyter 和 Azure Notebooks 中使用進階搜捕功能
- 關注清單 支援增強威脅偵測和降低警示疲勞的指定資料擷取
- 劇本 和 Azure Logic Apps 自訂連接器可為 Microsoft Sentinel 中的自動化調查、補救和回應案例提供功能
若要維護 Microsoft Sentinel 中的 內容,請使用:
- 內容中樞: - Microsoft Sentinel 解決方案 是 Microsoft Sentinel 內容或 Microsoft Sentinel API 整合的套件,可履行 Microsoft Sentinel 中的端對端產品、網域或產業垂直案例。
- 存放庫: - 存放庫可協助您透過中央存放庫自動部署和管理 Microsoft Sentinel 內容。
- 社群: 視需要將社群內容上線,以啟用您的案例。 https://github.com/Azure/Azure-Sentinel 上的 GitHub 存放庫包含 Microsoft 的內容,以及經過測試且可供您在 Sentinel 工作區中實作的社群。
您在一家實作 Microsoft Sentinel 的公司擔任安全性作業分析師。 您需要從廠商安裝連接器和分析規則。 您也建立了需要跨多個環境維護的搜捕查詢程式庫。
在本課程模組結束時,您將能夠在 Microsoft Sentinel 中管理內容。
完成本單元後,您將能夠:
- 在 Microsoft Sentinel 中安裝內容中樞解決方案
- 將 GitHub 存放庫連線至 Microsoft Sentinel