Find og administrer Microsoft Sentinel indbyggede indhold

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel Content Hub er din centraliserede placering til registrering og administration af indbygget indhold. Der finder du pakkede løsninger til komplette produkter efter domæne eller branche. Du har adgang til det store antal separate bidrag, der hostes i vores GitHub-lager og funktionsblade.

  • Find løsninger og separat indhold med et ensartet sæt filtreringsfunktioner baseret på status, indholdstype, support, udbyder og kategori.

  • Installér indhold i dit arbejdsområde på én gang eller individuelt.

  • Få vist indhold i listevisning, og se hurtigt, hvilke løsninger der har opdateringer. Opdater løsninger på én gang, mens separat indhold opdateres automatisk.

  • Administrer en løsning for at installere indholdstyperne og hente de seneste ændringer.

  • Konfigurer separat indhold for at oprette nye aktive elementer baseret på den nyeste skabelon.

Hvis du er partner og ønsker at oprette din egen løsning, kan du se Microsoft Sentinel-vejledning til løsningsopbygning for at få oplysninger om oprettelse og publicering af løsninger.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Forudsætninger

Hvis du vil installere, opdatere og slette separat indhold eller løsninger i indholdshubben, skal du have rollen Microsoft Sentinel bidragyder på ressourcegruppeniveau.

Du kan få flere oplysninger om andre roller og tilladelser, der understøttes for Microsoft Sentinel, under Tilladelser i Microsoft Sentinel.

Find indhold

Indholdshubben giver den bedste måde at finde nyt indhold eller administrere de løsninger, du allerede har installeret.

  1. For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Indholdshub til administration> afindhold. For Microsoft Sentinel i Azure Portal under Indholdsstyring skal du vælge Indholdshub.

    Siden Indholdshub viser et gitter, der kan søges i, eller en liste over løsninger og separat indhold.

  2. Søg efter de løsninger eller separate indholdselementer, du har brug for. Vælg enten bestemte værdier fra filtrene, eller angiv et søgeord i søgefeltet . Søgninger bruger kunstig intelligens til at understøtte fuzzysøgninger og omtrentlige ordforråd.

    Når du søger, skal du sørge for at trykke på ENTER for at starte søgningen. Antallet af søgeresultater er begrænset til 50 elementer, herunder både løsninger og indholdselementer, der findes i løsninger. Hvis du ikke kan finde det, du leder efter, kan du prøve at finjusterer søgeudtrykket eller bruge forskellige filtre.

    Du kan finde flere oplysninger under Kategorier for Microsoft Sentinel klar til brug-indhold og løsninger.

  3. I listevisningen ( ) skal du vælge en løsning på listen for at få vist oplysninger om løsningen samt de indholdstyper, den indeholder.

    Udvid en løsning i søge- eller filterresultaterne for at få vist listen over indholdselementer, den indeholder. I informationsruden på siden vises detaljerede oplysninger om indholdselementet.

    Alternativt kan du vælge kortvisningen ( ) for at få vist løsninger, der vises i et gitter. Hvert kort viser løsningsnavnet, beskrivelsen og kategorierne. Vælg et kort for at få vist flere oplysninger om løsningen på siden.

Hvis du vil bruge et indholdselement, der er en del af en løsning, skal du installere hele løsningen. Hvis du har valgt et bestemt indholdselement i listevisningen, skal du vælge Installér løsning i detaljeruden på siden for at installere den relevante løsning.

Du kan finde flere oplysninger under Kategorier for Microsoft Sentinel klar til brug-indhold og løsninger.

Installér eller opdater indhold

Installér enkeltstående indhold og løsninger enkeltvist eller alle samlet samlet samlet. Du kan finde flere oplysninger om massehandlinger under Masseinstallation og -opdatering af indhold i næste afsnit.

Hvis der er opdateringer til en løsning, du har installeret, siden du sidst installerede den, vises Opdater i statuskolonnen i listevisningen. Løsningen er også inkluderet i Opdateringer antal øverst på siden.

Her er et eksempel, der viser installationen af en individuel løsning.

  1. Søg efter og vælg løsningen i indholdshubben.

  2. Vælg Vis detaljer nederst til højre i ruden med løsningsoplysninger.

  3. Vælg Opret eller Opdater.

  4. Under fanen Grundlæggende skal du angive abonnementet, ressourcegruppen og arbejdsområdet for at installere løsningen. Det kan f.eks. være:

    Skærmbillede af en guide til installation af en løsning, der viser fanen Grundlæggende.

  5. Vælg Næste for at gennemgå de resterende faner for at få mere at vide om og i nogle tilfælde konfigurere hver af indholdskomponenterne.

    Fanerne svarer til det indhold, der tilbydes af løsningen. Forskellige løsninger kan have forskellige typer indhold, så du kan muligvis ikke se de samme faner i hver løsning.

    Du bliver muligvis også bedt om at angive legitimationsoplysninger til en ikke-Microsoft-tjeneste, så Microsoft Sentinel kan godkende i dine systemer. Med playbooks kan det f.eks. være en god idé at udføre svarhandlinger som foreskrevet i dit system.

  6. Vent på Validation Passed meddelelsen under fanen Gennemse + opret.

  7. Vælg Opret eller Opdater for at installere løsningen. Du kan også vælge linket Download en skabelon til automatisering for at installere løsningen som kode.

Installér med afhængigheder

Nogle løsninger har afhængigheder, der skal installeres, herunder mange domæneløsninger og løsninger, der bruger de samlede AMA-connectors til CEF, Syslog eller brugerdefinerede logge.

I sådanne tilfælde skal du vælge Installér med afhængigheder for at sikre, at de påkrævede dataconnectors også er installeret. Herfra skal du vælge en eller flere afhængigheder for at installere dem sammen med den oprindelige løsning. Den oprindelige løsning, du har valgt at installere, er altid valgt som standard.

Hvis en eller flere af afhængighedsløsningerne allerede er installeret, men indeholder opdateringer, skal du bruge knappen Installer/Opdater til både at installere og opdatere alle valgte løsninger samlet. Det kan f.eks. være:

Skærmbillede af installation af flere løsningsafhængigheder samlet.

Når du har installeret en løsning, kan hver indholdstype i løsningen kræve flere trin at konfigurere. Du kan få flere oplysninger under Aktivér indholdselementer i en løsning.

Masseinstallation og opdatering af indhold

Indholdshub understøtter en listevisning ud over standardkortvisningen. Vælg listevisningen for at installere flere løsninger og separat indhold på én gang. Separat indhold holdes automatisk opdateret. Alt aktivt eller brugerdefineret indhold, der er oprettet på baggrund af løsninger eller separat indhold, der er installeret fra indholdshubben, forbliver uændret.

  1. Hvis du vil installere eller opdatere elementer samlet, skal du skifte til listevisningen.

  2. Søg efter eller filtrer for at finde det indhold, du vil installere eller opdatere samlet.

  3. Markér afkrydsningsfeltet for hver løsning eller separat indhold, du vil installere eller opdatere.

  4. Vælg knappen Installér/Opdater . Skærmbillede af visning af løsningsliste med flere løsninger valgt og i gang til installation.

    Hvis en løsning eller et separat indhold, du har valgt, allerede er installeret eller opdateret, udføres der ingen handling på elementet. Det forstyrrer ikke opdateringen og installationen af de andre elementer.

  5. Vælg Administrer for hver løsning, du har installeret. Indholdstyper i løsningen kan kræve flere oplysninger, før du kan konfigurere dem. Du kan få flere oplysninger under Aktivér indholdselementer i en løsning.

Installér pakker og skabeloner ved hjælp af API'en

Hvis du bruger API'en til at installere løsningspakker eller individuelle skabeloner, skal du følge disse trin:

  1. Hent løsningspakken eller -skabelonen:

  2. Find feltet i properties.mainTemplate API-svaret. Dette felt indeholder den JSON-ARM-skabelon, der definerer løsnings- eller skabelonressourcerne.

  3. Udrul den udpakkede mainTemplate ved hjælp af en ARM-skabeloninstallation, enten via Rest-API'en, Azure kommandolinjegrænsefladen eller PowerShell.

Aktivér indholdselementer i en løsning

Administrer indholdselementer centralt for installerede løsninger fra indholdshubben.

  1. Vælg en installeret løsning i indholdshubben, hvor versionen er 2.0.0 eller nyere.

  2. På siden med løsningsoplysninger skal du vælge Administrer.

    Skærmbillede af knappen Administrer på detaljesiden i Azure-indholdshubløsningen Aktivitet.

  3. Gennemse listen over indholdselementer.

    Skærmbillede af løsningsbeskrivelse og liste over indholdselementer til Azure aktivitetsløsning.

  4. Vælg et indholdselement for at komme i gang.

Administrer hver indholdstype

Følgende afsnit indeholder nogle tip til, hvordan du arbejder med de forskellige indholdstyper, når du administrerer en løsning.

Dataconnector

Hvis du vil oprette forbindelse til en dataconnector, skal du fuldføre konfigurationstrinnene.

  1. Vælg Åbn forbindelsesside.

  2. Fuldfør konfigurationstrinnene for dataconnectoren.

    Skærmbillede af indholdselementet for dataconnectoren for Azure aktivitetsløsning, hvor forbindelsen til status er afbrudt.

    Når du har konfigureret dataconnectoren, og loggene er registreret, ændres status til Tilsluttet.

Analyseregel

Opret en regel ud fra en skabelon, eller rediger en eksisterende regel.

  1. Få vist skabelonen i galleriet med analyseskabeloner.

  2. Hvis skabelonen endnu ikke bruges, skal du vælge Åbn>opret regel og følge trinnene for at aktivere analysereglen.

    Når du har oprettet en regel, vises antallet af aktive regler, der er oprettet ud fra skabelonen, i kolonnen Oprettet indhold .

  3. Vælg linket med de aktive regler for at redigere den eksisterende regel. Det aktive regellink på følgende billede er f.eks. under Indhold oprettet og viser to elementer.

    Skærmbillede af indholdselementet for analysereglen i løsningen til Azure aktivitet.

Jagtforespørgsel

Kør den angivne jagtforespørgsel, eller tilpas den.

  1. Hvis du vil søge med det samme, skal du vælge Kør forespørgsel på detaljesiden for at få hurtige resultater.

    Skærmbillede af indholdselement i klonet jagtforespørgsel i løsning til Azure aktivitet.

  2. Hvis du vil tilpasse din jagtforespørgsel, skal du vælge linket i kolonnen Indholdsnavn .

    Fra jagtgalleriet kan du oprette en klon af den skrivebeskyttede jagtforespørgselsskabelon ved at gå til ellipsemenuen. Jagtforespørgsler, der oprettes på denne måde, vises som elementer i indholdshubben Kolonnen Oprettet indhold .

Projektmappe

Hvis du vil tilpasse en projektmappe, der er oprettet ud fra en skabelon, skal du oprette en forekomst af en projektmappe.

  1. Vælg Vis skabelon for at åbne projektmappen og se visualiseringerne.

  2. Vælg Gem for at oprette en forekomst af projektmappeskabelonen.

  3. Få vist den gemte projektmappe, der kan tilpasses, ved at vælge Vis gemt projektmappe.

  4. I indholdshubben skal du vælge linket 1 element i kolonnen Oprettet indhold for at administrere projektmappen.

    Skærmbillede af gemt projektmappeelement i løsning til Azure aktivitet.

Parser

Når der er installeret en løsning, tilføjes alle inkluderede fortolkere som arbejdsområdefunktioner i Log Analytics.

  1. Vælg Indlæs funktionskoden for at åbne Log Analytics og få vist eller køre funktionskoden.

  2. Vælg Brug i editor for at åbne Log Analytics med fortolkerens navn klar til at føje til din brugerdefinerede forespørgsel.

    Skærmbillede af fortolkerindholdstypen i en løsning.

Playbook

Opret en playbook ud fra en skabelon.

  1. Vælg linket Indholdsnavn for playbooken.

  2. Vælg skabelonen, og vælg Opret playbook.

  3. Når playbooken er oprettet, vises den aktive playbook i kolonnen Oprettet indhold .

  4. Vælg linket til den aktive playbook 1 for at administrere playbooken.

    Skærmbillede af indholdstypen for playbook-typen i en løsning.

Find supportmodellen til dit indhold

Hvert enkelt løsnings- og enkeltstående indholdselement forklarer sin supportmodel i detaljeruden i feltet Support , hvor enten Microsoft eller en partners navn er angivet. Det kan f.eks. være:

Skærmbillede af, hvor du kan finde din supportmodel til din løsning.

Når du kontakter support, har du muligvis brug for andre oplysninger om din løsning, f.eks. værdier for udgiver, udbyder og plan-id. Du kan finde disse oplysninger på siden med oplysninger under fanen Anvendelsesoplysninger & support .

Skærmbillede af oplysninger om brug og support for en løsning.

Næste trin

I dette dokument har du lært, hvordan du finder og udruller indbyggede løsninger og separat indhold til Microsoft Sentinel.

Mange løsninger omfatter dataconnectors, som du skal konfigurere, så du kan begynde at indtage dine data i Microsoft Sentinel. Hver dataconnector har sit eget sæt krav, der er beskrevet på dataconnectorsiden i Microsoft Sentinel.

Du kan få flere oplysninger under Opret forbindelse til datakilden.

  • Last updated on