Zentralisierungsänderungen für sofort einsatzbereite Inhalte in Microsoft Sentinel
Der Microsoft Sentinel Content Hub ermöglicht die Ermittlung und bedarfsgesteuerte Installation von OOTB-Inhalten und -Lösungen in einem einzelnen Schritt. Zuvor waren einige dieser OOTB-Inhalte nur in verschiedenen Katalogabschnitten von Microsoft Sentinel vorhanden. Jetzt sind alle der folgenden Kataloginhaltsvorlagen im Content Hub als eigenständige Elemente oder als Teil von Paketlösungen verfügbar:
- Datenconnectors
- Vorlagen für Analyseregeln
- Hunting-Abfragen
- Playbookvorlagen
- Arbeitsmappenvorlagen
Änderungen am Inhaltshub
Um alle OOZB-Inhalte zu zentralisieren, haben wir die im Katalog verfügbaren Inhaltsvorlagen ausgemustert. Die Legacy-Kataloginhaltsvorlagen werden nicht mehr konsistent aktualisiert. OOTB-Inhalte werden im Content Hub auf dem neuesten Stand gehalten. Der Inhaltshub bietet außerdem Update-Workflows für Lösungen und automatische Updates für eigenständige Inhalte.
Zur Erleichterung der Umstellung wurde ein zentrales Tool veröffentlicht, mit dem Sie ausgemusterte Vorlagen, die mit WIRD VERWENDET gekennzeichnet sind, aus entsprechenden Content Hub-Lösungen reaktivieren können.
Wiederherstellen von ausgemusterten „WIRD VERWENDET“-Vorlagen mit einem zentralen Tool
Nun, da die Inhaltshub-Zentralisierungsänderungen abgeschlossen sind, finden Sie hier eine Übersicht darüber, wie Sie den Prozess zur Wiederherstellung des zentralen Tools abschließen.
Wählen Sie den Link im Warnbanner aus, um ausgemusterte WIRD VERWENDET-Kataloginhaltsvorlagen zu reaktivieren.
Dieser Screenshot zeigt ein Beispiel für das Warnbanner im Arbeitsmappenkatalog.
Wählen Sie den Link aus, und lesen Sie den Inhalt auf der Seite sorgfältig.
Wählen Sie Weiter aus, und überprüfen Sie die Liste der Inhalte, die das Tool generiert.
Wählen Sie Zentralisierung abschließen aus, um die Installation zu starten. Die Auswahl ist festgelegt und kann nicht geändert werden.
Änderung der Seite „Datenconnector“
Alle Datenconnectors sind jetzt Teil einer Lösung. Um Dashboard-Visualisierungen (jetzt als Arbeitsmappen bezeichnet) zu fördern und KQL-Beispielabfragen bereitzustellen, haben wir zuvor einige dieser Elemente auf der Registerkarte Nächste Schritte der Seite „Datenconnector“ hinzugefügt. Wir haben den Teil Nächste Schritte der Seite „Datenconnector“ zugunsten des neuen Inhaltsverhaltens der Lösungen eingestellt, bei dem alle Lösungskomponenten zusammen mit dem Datenconnector verwaltet werden.
Der Schlüssel zum Erleben des aktualisierten Verhaltens besteht darin, im Inhaltshub zu starten. Um das vorherige Verhalten mit der neuen Benutzeroberfläche zu vergleichen, untersuchen Sie den Datenconnector für Azure-Aktivitäten. Nachdem Sie die Lösung über den Inhaltshub installiert und Verwalten ausgewählt haben, steht die gesamte Lösung zur Überprüfung zur Verfügung. Wenn Sie eine Visualisierung des Datenconnectors für Azure-Aktivitäten möchten, zeigen Sie die Vorlage für die Arbeitsmappe an. Wenn Sie KQL-Abfragen anzeigen möchten, beginnen Sie mit der Datentabelle. Weitere Informationen zu erweiterten Abfragen finden Sie unter Analyseregeln und Suchabfragen.
Weitere Informationen zum neuen Inhaltsverhalten der Lösungen finden Sie unter Ermitteln und Bereitstellen von OOTB-Inhalten.
Wenn eine bestimmte Beispielabfrage für einen von Ihnen gesuchten Datenconnector eines Drittanbieters vorhanden ist, veröffentlichen wir diese weiterhin in unserem Index Alle Connectors. Hier finden Sie beispielsweise die Beispielabfragen für den Jamf Protect-Connector.
GitHub-Änderungen bei Microsoft Sentinel
Microsoft Sentinel verfügt über ein offizielles GitHub-Repository für Communitybeiträge, die von Microsoft und der Community geprüft wurden. Die meisten Inhaltselemente des Content Hub stammen aus dieser Quelle.
Um eine konsistente Ermittlung dieser Inhalte zu gewährleisten, wurden die Zentralisierungsänderungen für OOTB-Inhalte bereits auf das GitHub-Repository für Microsoft Sentinel ausgeweitet:
- Alle OOTB-Inhalte, deren Pakete auf Content Hub-Lösungen basieren, sind jetzt im Ordner Solutions des GitHub-Repositorys gespeichert.
- Alle eigenständigen OOTB-Inhaltselemente befinden sich weiterhin an ihrem jeweiligen Speicherort.
Diese Änderungen am Content Hub und dem Microsoft Sentinel GitHub-Repository runden den Weg zur Zentralisierung von Microsoft Sentinel-Inhalten ab.
Wann wird diese Änderung vorgenommen?
Die Zentralisierungsänderungen wurden veröffentlicht. Die GitHub-Änderungen für Microsoft Sentinel wurden bereits vorgenommen. Eigenständige Inhalte stehen in bereits vorhandenen GitHub-Ordnern zur Verfügung und Lösungsinhalte wurden in den Ordner Solutions verschoben.
Der Wechsel zur Registerkarte Nächste Schritte wurde bereits abgeschlossen.
Umfang der Änderung
Diese Änderung betrifft nur Vorlagen vom Typ Kataloginhalt. Alle diese Vorlagen sowie weitere OOTB-Inhalte sind im Content Hub als Lösungen oder eigenständige Inhalte verfügbar.
Im GitHub-Repository für Microsoft Sentinel werden OOTB-Inhalte, die in Lösungen im Content Hub verpackt sind, jetzt nur noch unter dem Ordner Solutions des GitHub-Repositorys aufgeführt. Die anderen vorhandenen GitHub-Inhalte sind auf die folgenden Ordner ausgerichtet und enthalten nur eigenständige Inhaltselemente. Für Inhalte in den restlichen GitHub-Ordnern, die nicht in dieser Liste enthalten sind, wurden keine Änderungen vorgenommen.
- Ordner „DataConnectors“
- Ordner „Detections“ (Analytics-Regeln)
- Ordner „Hunting Queries“
- Ordner „Parsers“
- Ordner „Playbooks“
- Ordner „Workbooks“
Was ändert sich nicht?
Diese Änderung wirkt sich nicht auf aktive oder benutzerdefinierte Elemente aus (egal, ob sie aus Vorlagen oder anderweitig erstellt wurden). Insbesondere wirkt sich diese Änderung nicht auf die folgenden Elemente aus:
- Datenkonnektoren mit Status = Verbunden.
- Warnungsregeln oder -benachrichtigungen (aktiviert oder deaktiviert) auf der Registerkarte Aktive Regeln im Analytics-Katalog.
- Gespeicherte Arbeitsmappen auf der Registerkarte Meine Arbeitsmappen im Arbeitsmappenkatalog.
- Geklonte Inhalte oder mit Inhaltsquelle = Benutzerdefiniert gekennzeichnete Inhalte im Hunting-Katalog.
- Aktive Playbooks (aktiviert oder deaktiviert) auf der Registerkarte Aktive Playbooks im Automatisierungskatalog.
Sämtliche OOTB-Inhaltsvorlagen, die über den Content Hub installiert werden (gekennzeichnet mit Inhaltsquelle = Content Hub), sind von dieser Änderung nicht betroffen.
Was hat sich geändert?
In allen Vorlagenkatalogen wird jetzt ein produktinternes Warnbanner angezeigt. Dieses Banner enthält einen Link zu einem Tool, das im Microsoft Sentinel-Portal ausgeführt wird. Wenn Sie das Tool aktivieren, wird eine geführte Benutzeroberfläche angezeigt, über die Sie ausgemusterte WIRD VERWENDET-Inhaltsvorlagen aus dem Inhaltshub reaktivieren können.
Dieses Tool muss immer nur einmal pro Arbeitsbereich ausgeführt werden. Planen Sie dies daher unbedingt entsprechend mit Ihrer Organisation. Nachdem das Tool erfolgreich ausgeführt wurde, verschwindet das Warnbanner aus den Vorlagenkatalogen des betreffenden Arbeitsbereichs.
In der folgenden Tabelle sind die spezifischen Auswirkungen auf die Inhaltsvorlagen für jeden dieser Kataloge aufgeführt. Erwarten Sie diese Änderungen jetzt, da die Zentralisierung der OOTB-Inhalte live ist.
| Inhaltstyp | Auswirkung |
|---|---|
| Datenconnectors | Vorlagen, deren Inhaltsquelle = Kataloginhalt und Status = Nicht verbunden sind, werden im Datenkonnektoren-Katalog nicht mehr angezeigt. |
| Analyse | Vorlagen, deren Quellname = Kataloginhalt ist, werden nicht mehr im Analytics-Katalog angezeigt. |
| Hunting | Vorlagen, deren Inhaltsquelle = Kataloginhalt ist, werden nicht mehr im Hunting-Katalog angezeigt. |
| Playbooks | Vorlagen, deren Quellname = Kataloginhalt ist, werden nicht mehr im Automatisierungskatalog für Playbooks angezeigt. |
| Arbeitsmappen | Vorlagen, deren Inhaltsquelle = Kataloginhalt ist, werden nicht mehr im Arbeitsmappenkatalog angezeigt. |
Das folgende Beispiel zeigt eine Analytics-Regel vor und nach den Zentralisierungsänderungen und der Ausführung des Tools:
Die aktive Analytics-Regel bleibt unverändert. Sie basiert auf einer Analytics-Regelvorlage, die ausläuft.
Der Screenshot zeigt eine Analytics-Regelvorlage, die ausläuft.
Nachdem Sie das Tool zur Reaktivierung der Analytics-Regelvorlage ausgeführt haben, ändert sich die Quelle der Vorlage zu der Lösung, über die sie reaktiviert wurde.
Erforderliche Aktion
- Installieren Sie neue OOTB-Inhalte aus dem Inhaltshub und aktualisieren Sie Lösungen nach Bedarf, um immer die aktuellste Version von Vorlagen zu verwenden.
- Für bereits vorhandene Kataloginhaltsvorlagen, die derzeit verwendet werden, erhalten Sie zukünftige Updates, indem Sie die entsprechenden Lösungen oder eigenständigen Inhaltselemente aus dem Content Hub installieren. Kataloginhalte der Feature-Kataloge sind möglicherweise nicht mehr aktuell.
- Wenn Sie über Anwendungen oder Prozesse verfügen, die OOTB-Inhalte direkt aus dem Microsoft Sentinel GitHub-Repository abrufen, aktualisieren Sie die Speicherorte, um zusätzlich zu den vorhandenen Inhaltsordnern OOTB-Inhalte aus dem Ordner Solutions zu beziehen.
- Planen Sie mit Ihrer Organisation, wer das Tool wann ausführen wird, jetzt, da das Warnbanner und die Änderungen live sind. Das Tool muss jeweils einmal pro Arbeitsbereich ausgeführt werden, um alle ausgelaufenen Vorlagen, die mit WIRD VERWENDET gekennzeichnet sind, aus dem Content Hub zu reaktivieren.
- Lesen Sie die folgenden Häufig gestellten Fragen, um weitere Details über Ihre Umgebung zu erhalten.
Häufig gestellte Fragen zur Inhaltszentralisierung
Wirkt sich diese Änderung auf die Generierung von SOC-Warnungen oder die Generierung und Verwaltung von Incidents aus?
Nein. Nein. Es gibt keine Auswirkungen auf aktive Warnungsregeln oder -benachrichtigungen, auf aktive Playbooks, auf geklonte Hunting-Abfragen oder auf gespeicherte Arbeitsmappen. Die Zentralisierungsänderung für OOTB-Inhalte wirkt sich nicht auf Ihre aktuellen Prozesse zur Incidentgenerierung und -verwaltung aus.
Gibt es Ausnahmen für Kataloginhalte?
Ja. Ja. Die folgenden Arten von Analytics-Regelvorlagen sind von dieser Änderung ausgenommen:
- Vorlagen für Anomalieregeln
- Vorlagen für Fusion-Regeln
- Vorlagen für ML-Verhaltensanalyseregeln (Machine Learning, maschinelles Lernen)
- Vorlagen für Microsoft-Sicherheitsregeln (Incidenterstellung)
- Vorlagen für Threat Intelligence-Regeln
Wirkt sich diese Änderung auf eine der APIs aus?
Ja. Derzeit sind die einzigen Microsoft Sentinel REST-API-Aufrufe, die für die Verwaltung von Inhaltsvorlagen existieren, die Vorgänge Get und List für Warnungsregelvorlagen. Diese Vorgänge machen nur Kataloginhaltsvorlagen verfügbar und werden nicht aktualisiert. Weitere Informationen zu diesen Vorgängen finden Sie in der aktuellen REST-API-Referenz für Warnungsregelvorlagen.
Neue REST-API-Vorgänge für den Content Hub werden in Kürze verfügbar sein, um eine umfassendere Verwaltung von OOTB-Inhalten zu ermöglichen. Dieses API-Update enthält Vorgänge für die gleichen Inhaltstypen, die auch von den Zentralisierungsänderungen betroffen sind (also für Datenkonnektoren, Playbookvorlagen, Arbeitsmappenvorlagen, Analytics-Regelvorlagen, Hunting-Abfragen). Geplant ist auch ein Mechanismus zum Aktualisieren von im Arbeitsbereich installierten Analytics-Regelvorlagen.
Aktion erforderlich: Planen Sie die Aktualisierung Ihrer Anwendungen und Prozesse, um die neuen API-Vorgänge für die Verwaltung von OOTB-Inhalten auf dem Inhaltshubs zu nutzen, wenn diese verfügbar sind. Ursprünglich sollten diese im zweiten Quartal 2023 verfügbar sein, aber sie sind noch nicht bereit.
Wie identifiziert das zentrale Tool meine derzeit verwendeten OOTB-Inhaltsvorlagen?
Das Tool erstellt eine Liste mit Lösungen anhand von zwei Kriterien: Status = Verbunden und Playbookvorlagen mit der Kennzeichnung WIRD VERWENDET. Nachdem das Tool die Liste der vorgeschlagenen Lösungen erstellt hat, wird die Liste zur Genehmigung angezeigt. Wird sie genehmigt, installiert das Tool alle enthaltenen Lösungen. Da die OOTB-Inhalte auf der Basis von Lösungen reaktiviert werden, erhalten Sie möglicherweise mehr Vorlagen als Sie tatsächlich verwenden.
Beachten Sie, dass dieses zentrale Tool bestmöglich versucht, ihre OOTB-Inhaltsvorlagen mit der Kennzeichnung WIRD VERWENDET aus dem Content Hub zu reaktivieren. Fehlende OOTB-Inhalte können Sie direkt vom Content Hub aus installieren.
Was ist, wenn ich zur Verbindung von Datenquellen in meinem Microsoft Sentinel-Arbeitsbereich APIs verwende?
Aktuell gilt: Wenn eine API-Datenverbindung dem Datentyp des Datenkonnektors entspricht, wird für sie im Datenkonnektoren-Katalog Status = Verbunden angezeigt. Nachdem die Zentralisierungsänderungen live geschaltet wurden, muss der spezifische Datenconnector über eine entsprechende Lösung installiert werden, um das gleiche Verhalten zu erzielen.
Aktion erforderlich: Planen Sie, Prozesse oder Tools für Ihre Datenkonnektor-Bereitstellungen über Content Hub-Lösungen zu aktualisieren, bevor Sie eine Verbindung mit Datenerfassungs-APIs herstellen. Der REST-API-Operator zum Installieren einer Lösung wird im zweiten Quartal 2023 mit den APIs für die Verwaltung von OOTB-Inhalten bereitgestellt.
Was gilt, wenn ich mit Inhalten arbeite, indem ich das Repository-Feature in Microsoft Sentinel verwende?
Repositorys stellen speziell benutzerdefinierte oder aktive Inhalte in Microsoft Sentinel bereit. Die Zentralisierungsänderungen für OOTB-Inhalte wirken sich nicht auf Inhalte aus, die über das Repository-Feature bereitgestellt werden.
Wirkt sich dies auf Bereitstellungsgruppen im Arbeitsbereichs-Manager aus?
Genau wie Repositorys stellt der Arbeitsbereichs-Manager nur benutzerdefinierte oder aktive Inhalte bereit, sodass sich die Änderungen der OOTB-Inhaltszentralisierung nicht auf Inhalte auswirken, die über den Arbeitsbereichs-Manager bereitgestellt werden.
Nächste Schritte
Hier finden Sie weitere Ressourcen zu OOTB-Inhalten und dem Content Hub:
- Informationen zu Microsoft Sentinel-Inhalten und -Lösungen
- Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte
- Video: Using Content Hub to manage your SIEM content (Verwalten von SIEM-Inhalten mithilfe des Inhaltshubs)