Zjišťování a správa Microsoft Sentinel předefinovaný obsah

Centrum obsahu Microsoft Sentinel je centralizovaným umístěním pro zjišťování a správu předem vytvořeného (integrovaného) obsahu. Najdete tam zabalená řešení pro kompletní produkty podle domény nebo odvětví. Máte přístup k obrovskému počtu samostatných příspěvků hostovaných v našem úložišti GitHubu a v okně funkcí.

• Objevte řešení a samostatný obsah s konzistentní sadou možností filtrování na základě stavu, typu obsahu, podpory, poskytovatele a kategorie.

• Nainstalujte obsah do pracovního prostoru najednou nebo jednotlivě.

• Zobrazte obsah v zobrazení seznamu a rychle zjistěte, která řešení obsahují aktualizace. Aktualizujte řešení najednou, zatímco samostatný obsah se aktualizuje automaticky.

• Správa řešení pro instalaci jeho typů obsahu a získání nejnovějších změn

• Nakonfigurujte samostatný obsah tak, aby se vytvářely nové aktivní položky založené na nejaktuálnější šabloně.

Pokud jste partner, který chce vytvořit vlastní řešení, projděte si průvodce sestavením Microsoft Sentinel řešení pro vytváření a publikování řešení.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

K instalaci, aktualizaci a odstranění samostatného obsahu nebo řešení v centru obsahu potřebujete roli přispěvatele Microsoft Sentinel na úrovni skupiny prostředků.

Další informace o dalších rolích a oprávněních podporovaných pro Microsoft Sentinel najdete v tématu Oprávnění v Microsoft Sentinel.

Objevování obsahu

Centrum obsahu nabízí nejlepší způsob, jak najít nový obsah nebo spravovat řešení, která jste už nainstalovali.

1. Pokud chcete Microsoft Sentinel na portálu Defender, vyberte Microsoft Sentinel>Správa> obsahu. Pro Microsoft Sentinel v Azure Portal v části Správa obsahu vyberte Centrum obsahu.

   Na stránce Centra obsahu se zobrazí prohledávatelná mřížka nebo seznam řešení a samostatný obsah.

2. Vyhledejte řešení nebo samostatné položky obsahu, které potřebujete. Buď vyberte konkrétní hodnoty z filtrů, nebo zadejte hledaný termín do vyhledávacího pole. Hledání využívá AI k podpoře přibližného vyhledávání a přibližné slovní zásoby.

   Při hledání nezapomeňte spustit hledání stisknutím klávesy ENTER . Počet výsledků hledání je omezený na 50 položek, včetně řešení i položek obsahu nalezených v rámci řešení. Pokud nenajdete, co hledáte, zkuste zpřesnit hledaný výraz nebo použít jiné filtry.

   Další informace najdete v tématu Kategorie pro Microsoft Sentinel předefinovaný obsah a řešení.

3. V zobrazení seznamu ( ) vyberte ze seznamu řešení, abyste zobrazili informace o řešení a o typech položek obsahu, které obsahuje.

   Rozbalením řešení ve výsledcích hledání nebo filtrování zobrazíte seznam položek obsahu, které obsahuje. Podokno informací na straně obsahuje podrobné informace o položce obsahu.

   Portál Defender

   

   Azure Portal

   

   Případně můžete vybrat zobrazení karty ( ), abyste zobrazili řešení prezentovaná v mřížce. Na každé kartě se zobrazuje název řešení, popis a kategorie. Výběrem karty zobrazíte další informace o řešení na straně.

Pokud chcete použít položku obsahu, která je součástí řešení, musíte nainstalovat celé řešení. Pokud jste v zobrazení seznamu vybrali konkrétní položku obsahu, vyberte Nainstalovat řešení v podokně podrobností na straně a nainstalujte příslušné řešení.

Další informace najdete v tématu Kategorie pro Microsoft Sentinel předefinovaný obsah a řešení.

Instalace nebo aktualizace obsahu

Nainstalujte samostatný obsah a řešení jednotlivě nebo hromadně. Další informace o hromadných operacích najdete v části Hromadná instalace a aktualizace obsahu v další části.

Pokud řešení, které jste nasadili, má od posledního nasazení aktualizace, zobrazí se v zobrazení seznamu aktualizace ve sloupci stav. Řešení je také součástí Aktualizace count v horní části stránky.

Tady je příklad znázorňující instalaci jednotlivých řešení.

1. V centru Obsah vyhledejte a vyberte řešení.

2. V podokně podrobností řešení v pravém dolním rohu vyberte Zobrazit podrobnosti.

3. Vyberte Vytvořit nebo Aktualizovat.

4. Na kartě Základy zadejte předplatné, skupinu prostředků a pracovní prostor pro nasazení řešení. Příklady:

   

5. Vyberte Další a projděte si zbývající karty, kde se dozvíte o jednotlivých komponentách obsahu a v některých případech je nakonfigurujete.

   Karty odpovídají obsahu nabízenému řešením. Různá řešení můžou mít různé typy obsahu, takže se nemusí v každém řešení zobrazovat stejné karty.

   Může se také zobrazit výzva k zadání přihlašovacích údajů ke službě jiné společnosti než Microsoft, aby se Microsoft Sentinel mohli ověřit ve vašich systémech. Například u playbooků můžete chtít provádět akce odpovědi tak, jak jsou ve vašem systému předepsané.

6. Na kartě Zkontrolovat a vytvořit počkejte na Validation Passed zprávu.

7. Vyberte Vytvořit nebo Aktualizovat a nasaďte řešení. Můžete také vybrat odkaz Stáhnout šablonu pro automatizaci a nasadit řešení jako kód.

Instalace se závislostmi

Některá řešení mají závislosti, které je potřeba nainstalovat, včetně řady řešení domény a řešení, která používají jednotné konektory AMA pro protokoly CEF, Syslog nebo vlastní protokoly.

V takových případech vyberte Nainstalovat se závislostmi a ujistěte se, že jsou nainstalované také požadované datové konektory. Odtud vyberte jednu nebo více závislostí a nainstalujte je spolu s původním řešením. Původní řešení, které jste se rozhodli nainstalovat, je ve výchozím nastavení vždy vybrané.

Pokud je jedno nebo více řešení závislostí už nainstalované, ale obsahuje aktualizace, použijte tlačítko Nainstalovat/Aktualizovat a hromadně nainstalujte i aktualizujte všechna vybraná řešení. Příklady:

Po instalaci řešení může každý typ obsahu v rámci řešení vyžadovat další kroky ke konfiguraci. Další informace najdete v tématu Povolení položek obsahu v řešení.

Hromadná instalace a aktualizace obsahu

Centrum obsahu podporuje kromě výchozího zobrazení karty i zobrazení seznamu. Výběrem zobrazení seznamu můžete nainstalovat více řešení a samostatný obsah najednou. Samostatný obsah se automaticky aktualizuje. Veškerý aktivní nebo vlastní obsah vytvořený na základě řešení nebo samostatného obsahu nainstalovaného z centra obsahu zůstane nedotčený.

1. Pokud chcete položky nainstalovat nebo aktualizovat hromadně, přejděte na zobrazení seznamu.

2. Vyhledejte nebo vyfiltrujte obsah, který chcete nainstalovat nebo aktualizovat hromadně.

3. Zaškrtněte políčko u každého řešení nebo samostatného obsahu, který chcete nainstalovat nebo aktualizovat.

4. Vyberte tlačítko Nainstalovat/aktualizovat .

   Pokud je vybrané řešení nebo samostatný obsah již nainstalován nebo aktualizován, neprovedou se s danou položkou žádné akce. Nezasahuje do aktualizace a instalace ostatních položek.

5. Vyberte Spravovat pro každé řešení, které jste nainstalovali. Typy obsahu v rámci řešení můžou ke konfiguraci vyžadovat další informace. Další informace najdete v tématu Povolení položek obsahu v řešení.

Instalace balíčků a šablon pomocí rozhraní API

Pokud k instalaci balíčků řešení nebo jednotlivých šablon používáte rozhraní API, postupujte takto:

1. Načtení balíčku nebo šablony řešení:

   • Pokud chcete načíst balíček, použijte rozhraní API Získat balíček produktu.
   • Pokud chcete načíst jednotlivé šablony, použijte rozhraní API Pro získání šablony produktu.

2. V odpovědi rozhraní API vyhledejte properties.mainTemplate pole. Toto pole obsahuje json šablony ARM, který definuje řešení nebo prostředky šablony.

3. Nasaďte extrahované mainTemplate pomocí nasazení šablony ARM, a to buď prostřednictvím rozhraní REST API, rozhraní příkazového řádku Azure nebo PowerShellu.

Povolení položek obsahu v řešení

Centrálně spravujte položky obsahu pro nainstalovaná řešení z centra obsahu.

1. V centru obsahu vyberte nainstalované řešení, které má verzi 2.0.0 nebo vyšší.

2. Na stránce s podrobnostmi řešení vyberte Spravovat.

   

3. Zkontrolujte seznam položek obsahu.

   

4. Začněte výběrem položky obsahu.

Správa jednotlivých typů obsahu

Následující části obsahují několik tipů, jak při správě řešení pracovat s různými typy obsahu.

Datový konektor

Pokud chcete připojit datový konektor, proveďte kroky konfigurace.

1. Vyberte Otevřít stránku konektoru.

2. Proveďte kroky konfigurace datového konektoru.

   

   Po nakonfigurování datového konektoru a zjištění protokolů se stav změní na Připojeno.

Analytické pravidlo

Vytvořte pravidlo ze šablony nebo upravte existující pravidlo.

1. Zobrazte šablonu v galerii analytických šablon.

2. Pokud se šablona ještě nepoužívá, vyberte Otevřít>pravidlo vytvořit a podle pokynů povolte analytické pravidlo.

   Po vytvoření pravidla se počet aktivních pravidel vytvořených ze šablony zobrazí ve sloupci Vytvořený obsah .

3. Vyberte odkaz aktivní pravidla a upravte existující pravidlo. Například odkaz na aktivní pravidlo na následujícím obrázku je v části Obsah vytvořen a zobrazuje 2 položky.

   

Dotaz proaktivního vyhledávání

Spusťte zadaný dotaz proaktivního vyhledávání nebo ho přizpůsobte.

1. Pokud chcete hned začít hledat, vyberte na stránce podrobností možnost Spustit dotaz , abyste si mohli rychle zobrazit výsledky.

   

2. Pokud chcete dotaz proaktivního vyhledávání přizpůsobit, vyberte odkaz ve sloupci Název obsahu .

   V galerii proaktivního vyhledávání můžete vytvořit klon šablony dotazu proaktivního vyhledávání jen pro čtení tak, že přejdete do nabídky se třemi tečkami. Dotazy proaktivního vyhledávání vytvořené tímto způsobem se zobrazují jako položky ve sloupci vytvořeného obsahu v centru obsahu.

Sešitu

Pokud chcete přizpůsobit sešit vytvořený ze šablony, vytvořte instanci sešitu.

1. Výběrem možnosti Zobrazit šablonu otevřete sešit a prohlédněte si vizualizace.

2. Vyberte Uložit a vytvořte instanci šablony sešitu.

3. Pokud chcete zobrazit uložený přizpůsobitelný sešit, vyberte Zobrazit uložený sešit.

4. V centru obsahu vyberte odkaz na 1 položku ve sloupci Vytvořený obsah a spravujte sešit.

   

Analyzátor

Po instalaci řešení se všechny zahrnuté analyzátory přidají jako funkce pracovního prostoru v Log Analytics.

1. Výběrem možnosti Načíst kód funkce otevřete Log Analytics a zobrazte nebo spusťte kód funkce.

2. Vyberte Použít v editoru a otevřete Log Analytics s názvem analyzátoru připraveným k přidání do vlastního dotazu.

   

Scénáře

Vytvoření playbooku ze šablony

1. Vyberte odkaz Název obsahu playbooku.

2. Zvolte šablonu a vyberte Vytvořit playbook.

3. Po vytvoření playbooku se aktivní playbook zobrazí ve sloupci Vytvořený obsah .

4. Výběrem odkazu aktivní položky playbooku 1 můžete playbook spravovat.

   

Vyhledání modelu podpory pro váš obsah

Každé řešení a samostatná položka obsahu vysvětlují svůj model podpory v podokně podrobností v poli Podpora , kde je uvedeno jméno Microsoftu nebo partnera. Příklady:

Při kontaktování podpory můžete potřebovat další podrobnosti o vašem řešení, například vydavatele, poskytovatele a hodnoty ID plánu. Tyto informace najdete na stránce s podrobnostmi na kartě Informace o využití & podpory .

Další kroky

V tomto dokumentu jste zjistili, jak najít a nasadit integrovaná řešení a samostatný obsah pro Microsoft Sentinel.

• Přečtěte si další informace o Microsoft Sentinel řešeních.
• Podívejte se na úplný katalog řešení Microsoft Sentinel na Azure Marketplace.
• Vyhledejte řešení specifická pro doménu v katalogu centra obsahu Microsoft Sentinel.
• Odstraňte nainstalovaný Microsoft Sentinel předefinovaný obsah a řešení.

Mnoho řešení zahrnuje datové konektory, které je potřeba nakonfigurovat, abyste mohli začít ingestovat data do Microsoft Sentinel. Každý datový konektor má vlastní sadu požadavků, které jsou podrobně popsané na stránce datového konektoru v Microsoft Sentinel.

Další informace najdete v tématu Připojení zdroje dat.