تغييرات مركزية المحتوى الجاهز من Microsoft Sentinel

  • مقالة

يتيح مركز محتوى Microsoft Sentinel اكتشاف المحتوى والحلول الجاهزة (OO ТБ) وتثبيتها عند الطلب في خطوة واحدة. في السابق، كان بعض محتوى OO ТБ هذا موجودا فقط في أقسام المعرض المختلفة من Microsoft Sentinel. الآن، تتوفر جميع قوالب محتوى المعرض التالية في مركز المحتوى كعناصر مستقلة أو كجزء من الحلول المجمعة:

  • موصلات البيانات
  • قوالب قواعد التحليلات
  • باستعلامات الاصطياد
  • قوالب دليل المبادئ
  • قوالب المصنفات

تغييرات مركز المحتوى

لمركزية جميع محتويات OO ТБ، قمنا بإيقاف قوالب المحتوى الخاصة بالمعرض فقط. لم يعد يتم تحديث قوالب محتوى المعرض القديمة باستمرار، ومركز المحتوى هو المكان الذي يظل فيه المحتوى OO ТБ محدثا. يوفر مركز المحتوى أيضا مهام سير عمل محدثة للحلول والتحديثات التلقائية للمحتوى المستقل.

لتسهيل هذا الانتقال، قمنا بنشر أداة مركزية لإعادة استخدام القوالب المتوقفة من حلول مركز المحتوى المقابلة.

إعادة استخدام القوالب المتوقفة باستخدام أداة مركزية

الآن بعد اكتمال تغييرات مركزية مركز المحتوى، إليك نظرة عامة حول كيفية إكمال عملية إعادة الأداة المركزية.

  1. حدد الارتباط في شعار التحذير لإعادة قوالب محتوى IN USE المتوقفة والمعرض فقط.

    تعرض لقطة الشاشة هذه مثالا لشعار التحذير الموجود في معرض المصنفات . Screenshot showing orange warning banner with link to initiate central tool.

  2. حدد الارتباط واقرأ الصفحة بعناية.

  3. حدد متابعة وراجع قائمة المحتوى الذي تنشئه الأداة.

    Screenshot shows central tool page including details on how to use it.

  4. حدد Complete Centralization لبدء التثبيت. تم إصلاح التحديد ولا يمكن تغييره.

    Screenshot shows the list of content the tool generates.

تغيير صفحة موصل البيانات

أصبحت جميع موصلات البيانات الآن جزءا من الحل. في السابق، من أجل ترقية مرئيات لوحة المعلومات (تسمى الآن المصنفات) وتوفير نماذج استعلامات KQL، قمنا بإدراج بعض هذه العناصر في علامة تبويب "الخطوات التالية" في صفحة موصل البيانات. لقد قمنا بإيقاف جزء الخطوات التالية من صفحة موصل البيانات لصالح سلوك محتوى الحل الجديد حيث تتم إدارة جميع مكونات الحل جنبا إلى جنب مع موصل البيانات.

مفتاح مواجهة السلوك المحدث هو البدء في مركز المحتوى. لمقارنة السلوك السابق مع التجربة الجديدة، افحص موصل بيانات نشاط Azure. بعد تثبيت الحل من مركز المحتوى وتحديد Manage، يتوفر الحل بأكمله للفحص. إذا كنت تريد تصورا لموصل بيانات نشاط Azure، فاعرض قالب المصنف. إذا كنت تريد رؤية استعلامات KQL، فابدأ بجدول البيانات. بالنسبة للاستعلامات المتقدمة، ابحث عن قواعد التحليلات واستعلامات التتبع.

لمزيد من المعلومات حول سلوك محتوى الحل الجديد، راجع اكتشاف محتوى OO ТБ ونشره.

إذا كان هناك نموذج استعلام معين لموصل بيانات تابع لجهة خارجية تبحث عنه، فما زلنا ننشره في فهرس جميع الموصلات . على سبيل المثال، فيما يلي نماذج الاستعلامات لموصل Jamf Protect.

تغييرات Microsoft Sentinel GitHub

لدى Microsoft Sentinel مستودع GitHub رسمي لمساهمات المجتمع التي فحصتها Microsoft والمجتمع. إنه مصدر معظم عناصر المحتوى في مركز المحتوى.

لاكتشاف هذا المحتوى بشكل متسق، تم بالفعل توسيع تغييرات مركزية المحتوى OO ТБ إلى مستودع Microsoft Sentinel GitHub:

  • يتم الآن تخزين جميع محتويات OO ТБ المحزمة من حلول مركز المحتوى في مجلد حلول مستودع GitHub.
  • ستبقى جميع عناصر المحتوى المستقلة OO ТБ في مواقعها الخاصة.

ستكمل هذه التغييرات على مركز المحتوى ومترو Microsoft Sentinel GitHub الرحلة نحو مركزية محتوى Microsoft Sentinel.

متى يأتي هذا التغيير؟

تم إصدار تغييرات المركزية! لقد حدثت تغييرات Microsoft Sentinel GitHub بالفعل. يتوفر المحتوى المستقل في مجلدات GitHub الموجودة، وتم نقل محتوى الحل إلى مجلد الحلول .

تم بالفعل إكمال التغيير إلى علامة التبويب الخطوات التالية.

نطاق التغيير

يتم تحديد نطاق هذا التغيير لنوع محتوى المعرض فقط من القوالب. تتوفر جميع هذه القوالب نفسها والمزيد من محتوى OO ТБ في مركز المحتوى كحلول أو محتوى مستقل.

بالنسبة إلى Microsoft Sentinel GitHub repo، OO ТБ المحتوى المحزم في حلول في مركز المحتوى مدرج الآن فقط ضمن مجلد حلول مستودع GitHub. يتم تحديد نطاق محتوى GitHub الآخر الموجود إلى المجلدات التالية ويحتوي على عناصر محتوى مستقلة فقط. لا يحتوي المحتوى الموجود في مجلدات GitHub المتبقية غير المذكورة في هذه القائمة على أي تغييرات.

ما الذي لا يتغير؟

لا يؤثر هذا التغيير على العناصر النشطة أو المخصصة (التي تم إنشاؤها من القوالب أو غير ذلك). على وجه التحديد، لا يؤثر هذا التغيير على العناصر التالية:

  • موصلات البيانات مع الحالة = الاتصال.
  • قواعد التنبيه أو عمليات الكشف (ممكنة أو معطلة) في علامة التبويب القواعد النشطة في معرض التحليلات.
  • المصنفات المحفوظة في علامة التبويب "المصنفات الخاصة بي" في معرض المصنفات.
  • محتوى مستنسخ أو مصدر = محتوى مخصص في معرض التتبع.
  • أدلة المبادئ النشطة (ممكنة أو معطلة) في علامة التبويب أدلة المبادئ النشطة في معرض الأتمتة.

لا يؤثر هذا التغيير أيضا على أي قوالب محتوى OO ТБ مثبتة من مركز المحتوى (يمكن تعريفها كمركز محتوى مصدر = المحتوى).

ما الذي يتغير؟

تعرض جميع معارض القوالب الآن شعار تحذير داخل المنتج. يحتوي هذا الشعار على ارتباط إلى أداة سيتم تشغيلها داخل مدخل Microsoft Sentinel. يؤدي تنشيط الأداة إلى بدء تجربة إرشادية لإعادة قوالب المحتوى للقوالب المتوقفة IN USE من مركز المحتوى.

يجب تشغيل هذه الأداة مرة واحدة فقط لكل مساحة عمل، لذا تأكد من التخطيط مع مؤسستك. بعد تشغيل الأداة بنجاح، سيختفي شعار التحذير من معارض القوالب لمساحة العمل هذه.

يسرد الجدول التالي تأثيرات محددة على قوالب المحتوى لكل معرض من هذه المعارض. توقع هذه التغييرات الآن بعد أن أصبحت مركزية المحتوى OO ТБ مباشرة.

نوع المحتوى تأثير
موصلات البيانات لن تظهر القوالب التي يمكن تعريفها كمحتوى معرض مصدر = المحتوى والحالة = غير متصلة في معرض موصلات البيانات.
التحليلات لن تظهر القوالب التي يمكن تعريفها كمحتوى معرض الاسم = المصدر في معرض التحليلات.
التتبع لن تظهر القوالب ذات محتوى "معرض مصادر = المحتوى" بعد الآن في معرض التتبع.
أدلة المبادئ لن تظهر القوالب التي يمكن تعريفها كمحتوى معرض الاسم = المصدر في معرض أدلة المبادئ التلقائية.
المصنفات لن تظهر القوالب ذات محتوى معرض مصدر = المحتوى في معرض المصنفات.

فيما يلي مثال على قاعدة التحليلات قبل وبعد تغيير المركزية وتشغيل الأداة:

  • لن تتغير قاعدة التحليلات النشطة على الإطلاق. وهو يستند إلى قالب قاعدة تحليلات سيتم إيقافه.

    Screenshot that shows an active analytics rule before centralization changes.

    تظهر لقطة الشاشة هذه قالب قاعدة تحليلات سيتم إيقافه.

    Screenshot that shows the analytics rule template that will be retired.

  • بعد تشغيل الأداة لإعادة قالب قاعدة التحليلات، يتغير المصدر إلى الحل الذي تمت استعادته منه.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

الإجراءات اللازمة

  • قم بتثبيت محتوى OO ТБ جديد من مركز المحتوى وتحديث الحلول حسب الحاجة للحصول على أحدث إصدارات القوالب.
  • بالنسبة لقوالب محتوى المعرض الموجودة قيد الاستخدام، احصل على تحديثات مستقبلية عن طريق تثبيت الحلول أو عناصر المحتوى المستقلة من مركز المحتوى. قد يكون محتوى المعرض في معارض الميزات قديما.
  • إذا كانت لديك تطبيقات أو عمليات تحصل مباشرة على محتوى OO ТБ من مستودع Microsoft Sentinel GitHub، فقم بتحديث المواقع لتضمين الحصول على محتوى OO ТБ من مجلد الحلول بالإضافة إلى مجلدات المحتوى الموجودة.
  • خطط مع مؤسستك التي ستقوم بتشغيل الأداة، ومتى أصبح شعار التحذير والتغييرات مباشرة الآن. تحتاج الأداة إلى التشغيل مرة واحدة في مساحة عمل لإعادة كافة القوالب المتوقفة IN USE من مركز المحتوى.
  • راجع الأسئلة المتداولة التالية لمعرفة المزيد من التفاصيل التي قد تنطبق على بيئتك.

الأسئلة المتداولة حول مركزية المحتوى

هل سيؤثر هذا التغيير على إنشاء تنبيه SOC أو إنشاء الحدث وإدارته؟

عدد لا يوجد أي تأثير على قواعد التنبيه النشطة أو عمليات الكشف، أو أدلة المبادئ النشطة، أو استعلامات التتبع المستنسخة، أو المصنفات المحفوظة. لن يؤثر تغيير مركزية المحتوى OO ТБ على إنشاء الحدث الحالي وعمليات الإدارة.

هل هناك أي استثناءات لمحتوى المعرض؟

نعم. يتم إعفاء الأنواع التالية من قوالب قواعد التحليلات من هذا التغيير:

  • قوالب قواعد الحالات الشاذة
  • قوالب قاعدة الاندماج
  • قوالب قواعد تحليلات سلوك التعلم الآلي (التعلم الآلي)
  • قوالب قواعد أمان Microsoft (إنشاء الحدث)
  • قوالب قاعدة التحليل الذكي للمخاطر

هل سيؤثر هذا التغيير على أي من واجهات برمجة التطبيقات؟

نعم. حاليا، استدعاءات Microsoft Sentinel REST API الوحيدة الموجودة لإدارة قالب المحتوى هي Get عمليات و List لقوالب قاعدة التنبيه. تظهر هذه العمليات قوالب محتوى المعرض فقط ولن يتم تحديثها. لمزيد من المعلومات حول هذه العمليات، راجع مرجع واجهة برمجة تطبيقات REST لقوالب قاعدة التنبيه الحالية.

ستتوفر عمليات REST API الجديدة على مركز المحتوى قريبا لتمكين سيناريوهات إدارة المحتوى OO ТБ على نطاق أوسع. سيتضمن تحديث واجهة برمجة التطبيقات هذا عمليات لنفس أنواع المحتوى التي تم تحديد نطاقها في تغييرات المركزية (موصلات البيانات، قوالب دليل المبادئ، قوالب المصنفات، قوالب قواعد التحليلات، استعلامات التتبع). توجد أيضا آلية لتحديث قوالب قواعد التحليلات المثبتة على مساحة العمل على المخطط.

الإجراء المطلوب: خطط لتحديث التطبيقات والعمليات لاستخدام عمليات واجهة برمجة تطبيقات إدارة المحتوى OO ТБ الجديدة على مركز المحتوى عند توفرها. في الأصل أعربنا عن أن هذا سيكون متاحا في الربع الثاني من عام 2023، لكنهم ليسوا مستعدين بعد.

كيف ستحدد الأداة المركزية قوالب محتوى OO ТБ قيد الاستخدام؟

تنشئ الأداة قائمة بالحلول استنادا إلى معيارين: موصلات البيانات ذات الحالة = الاتصال وقوالب دليل المبادئ IN USE. بعد أن تنشئ الأداة قائمة الحلول المقترحة، ستقدم القائمة للموافقة عليها. إذا تمت الموافقة على القائمة، تقوم الأداة بتثبيت كل هذه الحلول. نظرا لإعادة محتوى OO ТБ استنادا إلى الحلول، فقد تحصل على قوالب أكثر مما تستخدمه بالفعل.

هذه الأداة المركزية هي أفضل جهد لاستعادة قوالب المحتوى IN USE OO ТБ من مركز المحتوى. يمكنك تثبيت محتوى OO المحذف ТБ مباشرة من مركز المحتوى.

ماذا لو كنت أستخدم واجهات برمجة التطبيقات لتوصيل مصادر البيانات في مساحة عمل Microsoft Sentinel الخاصة بي؟

حاليا، إذا تطابق اتصال بيانات API مع نوع بيانات موصل البيانات، فسيظهر ك Status = الاتصال ed في معرض موصلات البيانات. بعد أن تنتقل تغييرات المركزية مباشرة، يجب تثبيت موصل بيانات محدد من حل ذي الصلة للحصول على نفس السلوك.

الإجراء المطلوب: خطط لتحديث العمليات أو الأدوات الخاصة بعمليات توزيع موصل البيانات لتثبيتها من حلول مركز المحتوى قبل الاتصال بواجهات برمجة التطبيقات لاستيعاب البيانات. سيتوفر عامل تشغيل REST API لتثبيت حل في Q2 2023 باستخدام واجهات برمجة تطبيقات إدارة المحتوى OO ТБ.

ماذا لو كنت أعمل مع المحتوى باستخدام ميزة المستودعات في Microsoft Sentinel؟

تنشر المستودعات محتوى مخصصا أو نشطا على وجه التحديد في Microsoft Sentinel. لن تؤثر تغييرات مركزية المحتوى OO ТБ على المحتوى الذي يتم نشره من خلال ميزة المستودعات.

هل يؤثر هذا على مجموعات النشر في مدير مساحة العمل؟

تماما مثل المستودعات، يقوم مدير مساحة العمل بنشر محتوى مخصص أو نشط فقط، لذلك لن تؤثر تغييرات مركزية المحتوى OO ТБ على المحتوى الذي يتم نشره من خلال مدير مساحة العمل أيضا.

الخطوات التالية

ألق نظرة على هذه الموارد الأخرى لمحتوى OO ТБ ومركز المحتوى: