使用來自內容中樞的解決方案
使用 Microsoft Sentinel 內容中樞,集中探索並安裝現成的 (內建) 內容。
Microsoft Sentinel 內容中樞提供產品內探索能力、單一步驟部署,以及在 Microsoft Sentinel 中啟用端對端產品、網域和/或垂直現成解決方案和內容。
在內容中樞中,依類別和其他參數進行篩選,或使用功能強大的文字搜尋,可尋找最符合貴組織需求的內容。 內容中樞也會指出套用至每個內容片段的支援模型,因為有些內容是由 Microsoft 維護,而其他內容則由合作夥伴或社群維護。
透過 Microsoft Sentinel 內容中樞管理現成內容的更新,以及透過 [存放庫] 頁面管理自訂內容的更新。
自訂現成內容以符合自己的需求,或建立自訂內容,包括分析規則、搜捕查詢、筆記本、活頁簿等等。 透過 Microsoft Sentinel API,在 Microsoft Sentinel 工作區中直接管理自訂內容,或透過 Microsoft Sentinel 的 [存放庫] 頁面,在自己的原始檔控制存放庫中管理自訂內容。
方案
Microsoft Sentinel 解決方案是封裝的內容,或可為一或多個網域或垂直案例提供端對端產品價值的整合。
解決方案體驗是由 Azure Marketplace 針對解決方案的可探索性和部署提供技術支援。
Microsoft Sentinel 內容中樞提供產品內探索能力、單一步驟部署,以及在 Microsoft Sentinel 中啟用端對端產品、網域和/或垂直案例。 此體驗針對解決方案的可探索性、部署和啟用,以及針對解決方案的製作和發佈,提供技術支援。
封裝的內容是一或多段 Microsoft Sentinel 內容的集合,例如資料連線器、活頁簿、分析規則、劇本、搜捕查詢、關注清單、剖析器等等。
整合包含使用 Microsoft Sentinel 或 Azure Log Analytics API 建置的服務或工具,這些 API 支援 Azure 與現有客戶應用程式之間的整合,或可將資料、查詢等等從這些應用程式遷移至 Microsoft Sentinel。
您也可以使用解決方案,在單一步驟中安裝現成內容的套件,其中內容通常已準備好立即使用。 提供者和合作夥伴可藉由提供合併的產品、網域或垂直價值,使用解決方案將投資產品化。
使用內容中樞,以案例驅動的方式集中探索和部署解決方案和現成內容。
尋找解決方案
從 Microsoft Sentinel 導覽功能表的 [內容管理] 底下,選取 [內容中樞]。
[內容中樞] 頁面會顯示可搜尋且可篩選的解決方案格線。
從篩選條件中選取特定值,或在 [搜尋] 欄位中輸入解決方案名稱或描述的任何部分,以篩選顯示的清單。
網格中的每個解決方案都會顯示套用至解決方案的類別,以及解決方案中包含的內容類型。
例如,Cisco Umbrella 解決方案會顯示安全性 - 其他類別,且此解決方案包含 10 個分析規則、11 個搜捕查詢、剖析器、三個劇本等等。
安裝或更新解決方案
在內容中樞中,選取解決方案以檢視右側的詳細資訊。 然後,如果您需要更新,請選取 [安裝] 或 [更新]。 例如:
在解決方案詳細資料頁面上,選取 [建立] 或 [更新] 以啟動解決方案精靈。 在精靈的 [基本資訊] 索引標籤上,輸入您要部署解決方案的訂用帳戶、資源群組和工作區。
選取 [下一步] 以循環顯示其餘的索引標籤 (對應至解決方案中包含的元件),您可以在其中了解每個內容元件 (在某些情況下可進行設定)。
最後,在 [檢閱 + 建立] 索引標籤中,等候「通過驗證」訊息,然後選取 [建立] 或 [更新] 以部署解決方案。 您也可以選取 [下載自動化範本] 連結,以將解決方案部署為程式碼。