Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Microsoft Sentinel Content Hub ermöglicht die Ermittlung und bedarfsgesteuerte Installation von OOTB-Inhalten und -Lösungen (Out-of-the-Box) in einem einzigen Schritt. Zuvor waren einige dieser OOTB-Inhalte nur in verschiedenen Katalogabschnitten von Microsoft Sentinel vorhanden. Jetzt sind alle folgenden Kataloginhaltsvorlagen im Inhaltshub als eigenständige Elemente oder als Teil von gepackten Lösungen verfügbar:
- Datenconnectors
- Vorlagen für Analyseregeln
- Hunting-Abfragen
- Playbookvorlagen
- Arbeitsmappenvorlagen
Änderungen am Inhaltshub
Um alle OOTB-Inhalte zu zentralisieren, haben wir die inhaltsbasierten Katalogvorlagen eingestellt. Die Legacykatalog-Inhaltsvorlagen werden nicht mehr konsistent aktualisiert, und der Inhaltshub ist der Ort, an dem OOTB-Inhalte auf dem neuesten Stand bleiben. Der Inhaltshub bietet außerdem aktualisierte Workflows für Lösungen und automatische Updates für eigenständige Inhalte.
Um diesen Übergang zu erleichtern, haben wir ein zentrales Tool veröffentlicht, mit dem IN USE eingestellte Vorlagen aus entsprechenden Content Hub-Lösungen wiederhergestellt werden können.
In USE eingestellte Vorlagen mit zentralem Tool wiederherstellen
Nachdem die Zentralisierungsänderungen des Inhaltshubs abgeschlossen sind, finden Sie hier eine Übersicht darüber, wie Sie den Prozess zum Wiederherstellen des zentralen Tools abschließen.
Wählen Sie den Link im Warnbanner aus, um bei VERWENDUNG eingestellte Inhaltsvorlagen für den reinen Katalog wiederhergestellt zu werden.
Dieser Screenshot zeigt ein Beispiel für das Warnbanner im Arbeitsmappenkatalog .
Wählen Sie den Link aus, und lesen Sie die Seite sorgfältig durch.
Wählen Sie Weiter aus, und überprüfen Sie die Liste der Vom Tool generierten Inhalte.
Wählen Sie Zentralisierung abschließen aus, um die Installation zu starten. Die Auswahl ist fest und kann nicht geändert werden.
Änderung der Datenconnectorseite
Alle Datenconnectors sind jetzt Teil einer Lösung. Um Dashboard Visualisierungen (jetzt als Arbeitsmappen bezeichnet) höher zu stufen und KQL-Beispielabfragen bereitzustellen, haben wir einige dieser Elemente auf der Registerkarte Nächste Schritte der Datenconnectorseite hinzugefügt. Wir haben den Abschnitt Nächste Schritte der Datenconnectorseite zugunsten des Inhaltsverhaltens der neuen Lösung als veraltet gekennzeichnet, bei dem alle Lösungskomponenten zusammen mit dem Datenconnector verwaltet werden.
Der Schlüssel für das aktualisierte Verhalten besteht darin, im Inhaltshub zu starten. Um das vorherige Verhalten mit der neuen Benutzeroberfläche zu vergleichen, untersuchen Sie den Azure Activity-Datenconnector. Nachdem Sie die Lösung über den Content Hub installiert und Verwalten ausgewählt haben, steht die gesamte Lösung zur Überprüfung zur Verfügung. Wenn Sie eine Visualisierung des Azure Activity-Datenconnectors wünschen, zeigen Sie die Vorlage für die Arbeitsmappe an. Wenn Sie KQL-Abfragen anzeigen möchten, beginnen Sie mit der Datentabelle. Für erweiterte Abfragen finden Sie die Analyseregeln und Huntingabfragen.
Weitere Informationen zum Neuen Lösungsinhaltsverhalten finden Sie unter Ermitteln und Bereitstellen von OOTB-Inhalten.
Wenn eine bestimmte Beispielabfrage für einen von Ihnen gesuchten Datenconnector eines Drittanbieters vorhanden war, veröffentlichen wir diese weiterhin in unserem Index Alle Connectors . Hier finden Sie beispielsweise die Beispielabfragen für den Jamf Protect-Connector.
Microsoft Sentinel GitHub-Änderungen
Microsoft Sentinel verfügt über ein offizielles GitHub-Repository für Community-Beiträge, das von Microsoft und der Community überprüft wurde. Dies ist die Quelle für die meisten Inhaltselemente im Inhaltshub.
Für eine konsistente Ermittlung dieser Inhalte wurden die OOTB-Inhaltszentralisierungsänderungen bereits auf das Microsoft Sentinel GitHub-Repository erweitert:
- Alle OOTB-Inhalte, die von Content Hub-Lösungen gepackt wurden, werden jetzt im Ordner Solutions des GitHub-Repositorys gespeichert.
- Alle eigenständigen OOTB-Inhaltselemente verbleiben an ihren jeweiligen Speicherorten.
Diese Änderungen am Inhaltshub und dem Microsoft Sentinel GitHub-Repository schließen den Weg zur Zentralisierung Microsoft Sentinel Inhalten ab.
Wann kommt diese Änderung?
Die Zentralisierungsänderungen wurden veröffentlicht! Die Microsoft Sentinel GitHub-Änderungen sind bereits erfolgt. Eigenständige Inhalte sind in vorhandenen GitHub-Ordnern verfügbar, und Lösungsinhalte wurden in den Ordner Lösungen verschoben.
Die Änderung zur Registerkarte Nächste Schritte wurde bereits abgeschlossen.
Umfang der Änderung
Diese Änderung gilt nur für den Kataloginhaltstyp von Vorlagen. Alle diese Vorlagen und weitere OOTB-Inhalte sind im Inhaltshub als Lösungen oder eigenständige Inhalte verfügbar.
Für das Microsoft Sentinel GitHub-Repository werden OOTB-Inhalte, die in Lösungen im Inhaltshub gepackt sind, jetzt nur noch im Ordner "Lösungen" des GitHub-Repositorys aufgeführt. Die anderen vorhandenen GitHub-Inhalte sind auf die folgenden Ordner ausgerichtet und enthalten nur eigenständige Inhaltselemente. Inhalte in den verbleibenden GitHub-Ordnern, die nicht in dieser Liste aufgeführt sind, weisen keine Änderungen auf.
- Ordner "DataConnectors"
- Ordner "Detections" (Analyseregeln)
- Ordner "Hunting Queries"
- Ordner "Parser"
- Ordner "Playbooks"
- Arbeitsmappenordner
Was ändert sich nicht?
Diese Änderung wirkt sich nicht auf aktive oder benutzerdefinierte Elemente aus (erstellt aus Vorlagen oder auf andere Weise). Insbesondere wirkt sich diese Änderung nicht auf die folgenden Elemente aus:
- Datenconnectors mit Dem Status = Verbunden.
- Warnungsregeln oder -erkennungen (aktiviert oder deaktiviert) auf der Registerkarte Aktive Regeln im Analysekatalog.
- Gespeicherte Arbeitsmappen auf der Registerkarte Meine Arbeitsmappen im Arbeitsmappenkatalog.
- Geklonter Inhalt oder Inhaltsquelle = Benutzerdefiniert im Huntingkatalog.
- Aktive Playbooks (aktiviert oder deaktiviert) auf der Registerkarte Aktive Playbooks im Automatisierungskatalog.
Diese Änderung wirkt sich auch nicht auf OOTB-Inhaltsvorlagen aus, die vom Inhaltshub installiert werden (identifizierbar als Inhaltsquellen-Inhaltshub = ).
Was ändert sich?
Alle Vorlagenkataloge zeigen jetzt ein Produktwarnungsbanner an. Dieses Banner enthält einen Link zu einem Tool, das im Microsoft Sentinel-Portal ausgeführt wird. Durch die Aktivierung des Tools wird eine geführte Benutzeroberfläche gestartet, um die Inhaltsvorlagen für die in USE eingestellten Vorlagen aus dem Inhaltshub wiederhergestellt zu können.
Dieses Tool muss nur einmal pro Arbeitsbereich ausgeführt werden. Planen Sie daher unbedingt mit Ihrem organization. Nachdem das Tool erfolgreich ausgeführt wurde, verschwindet das Warnbanner in den Vorlagenkatalogen dieses Arbeitsbereichs.
In der folgenden Tabelle sind die spezifischen Auswirkungen auf die Inhaltsvorlagen für die einzelnen Kataloge aufgeführt. Erwarten Sie diese Änderungen jetzt, da die Zentralisierung von OOTB-Inhalten live ist.
| Inhaltstyp | Auswirkung |
|---|---|
| Datenconnectors | Vorlagen, die alsInhaltsquellenkataloginhalt = und Status = Nicht verbunden identifiziert sind, werden nicht mehr im Datenconnectors-Katalog angezeigt. |
| Analyse | Vorlagen, die als Inhalt des Quellnamenkatalogs = identifiziert werden, werden nicht mehr im Analysekatalog angezeigt. |
| Suchen | Vorlagen mit Inhalt des Inhaltsquellenkatalogs = werden nicht mehr im Huntingkatalog angezeigt. |
| Playbooks | Vorlagen, die als Inhalt des Quellnamenkatalogs = identifiziert werden, werden nicht mehr im Automation-Playbookskatalog angezeigt. |
| Workbooks | Vorlagen mitInhalt des Inhaltsquellenkatalogs = werden nicht mehr im Arbeitsmappenkatalog angezeigt. |
Im Folgenden finden Sie ein Beispiel für eine Analyseregel, bevor und nachdem sich die Zentralisierung ändert und das Tool ausgeführt wurde:
Die aktive Analyseregel ändert sich überhaupt nicht. Sie basiert auf einer Analyseregelvorlage, die eingestellt wird.
Dieser Screenshot zeigt eine Analyseregelvorlage, die eingestellt wird.
Nachdem Sie das Tool ausgeführt haben, um die Analyseregelvorlage wiederhergestellt zu haben, ändert sich die Quelle an der Lösung, aus der sie wiederhergestellt wurde.
Aktion erforderlich
- Installieren Sie neue OOTB-Inhalte aus dem Content Hub, und aktualisieren Sie Lösungen nach Bedarf, um die neuesten Versionen von Vorlagen zu erhalten.
- Für vorhandene Kataloginhaltsvorlagen, die verwendet werden, erhalten Sie zukünftige Updates, indem Sie die Lösungen oder eigenständige Inhaltselemente aus dem Inhaltshub installieren. Der Kataloginhalt in den Featurekatalogen ist möglicherweise veraltet.
- Wenn Sie über Anwendungen oder Prozesse verfügen, die OOTB-Inhalte direkt aus dem Microsoft Sentinel GitHub-Repository abrufen, aktualisieren Sie die Speicherorte so, dass zusätzlich zu vorhandenen Inhaltsordnern auch OOTB-Inhalte aus dem Ordner Lösungen abgerufen werden.
- Planen Sie mit Ihrem organization, wer das Tool wann ausführen wird, nachdem das Warnbanner und die Änderungen live sind. Das Tool muss einmal in einem Arbeitsbereich ausgeführt werden, um alle in USE eingestellten Vorlagen aus dem Inhaltshub wiederhergestellt zu können.
- Lesen Sie die folgenden häufig gestellten Fragen, um weitere Details zu erfahren, die für Ihre Umgebung gelten können.
Häufig gestellte Fragen zur Inhaltszentralisierung
Wirkt sich diese Änderung auf meine SOC-Warnungsgenerierung oder die Incidentgenerierung und -verwaltung aus?
Nein Es gibt keine Auswirkungen auf aktive Warnungsregeln oder Erkennungen, aktive Playbooks, geklonte Huntingabfragen oder gespeicherte Arbeitsmappen. Die Änderung der OOTB-Inhaltszentralisierung wirkt sich nicht auf Ihre aktuellen Incidentgenerierungs- und -verwaltungsprozesse aus.
Gibt es Ausnahmen für Kataloginhalte?
Ja. Die folgenden Typen von Analyseregelvorlagen sind von dieser Änderung ausgenommen:
- Vorlagen für Anomalieregeln
- Fusionsregelvorlagen
- ML Behavior Analytics (Machine Learning)-Regelvorlagen
- Microsoft-Sicherheitsregelvorlagen (Incidenterstellung)
- Threat Intelligence-Regelvorlagen
Wirkt sich diese Änderung auf eine der APIs aus?
Ja. Derzeit sind die einzigen Microsoft Sentinel REST-API-Aufrufe, die für die Verwaltung von Inhaltsvorlagen vorhanden sind, die Get Vorgänge und List für Warnungsregelvorlagen. Diese Vorgänge enthalten nur Kataloginhaltsvorlagen und werden nicht aktualisiert. Weitere Informationen zu diesen Vorgängen finden Sie in der aktuellen REST-API-Referenz für Warnungsregelvorlagen.
Neue REST-API-Vorgänge auf dem Inhaltshub werden bald verfügbar sein, um OOTB-Inhaltsverwaltungsszenarien umfassender zu ermöglichen. Dieses API-Update enthält Vorgänge für dieselben Inhaltstypen, die in den Zentralisierungsänderungen (Datenconnectors, Playbookvorlagen, Arbeitsmappenvorlagen, Analyseregelvorlagen, Huntingabfragen) erfasst werden. Ein Mechanismus zum Aktualisieren von Analyseregelvorlagen, die im Arbeitsbereich installiert sind, ist ebenfalls in der Roadmap enthalten.
Erforderliche Aktion: Planen Sie, Ihre Anwendungen und Prozesse zu aktualisieren, um die neuen OOTB-Inhaltsverwaltungs-API-Vorgänge auf dem Inhaltshub zu verwenden, wenn diese verfügbar sind. Ursprünglich haben wir angegeben, dass dies Q2 2023 verfügbar sein würde, aber sie sind noch nicht bereit.
Wie identifiziert das zentrale Tool meine verwendeten OOTB-Inhaltsvorlagen?
Das Tool erstellt eine Liste von Lösungen basierend auf zwei Kriterien: Datenconnectors mit Status = Verbunden und IN USE Playbookvorlagen. Nachdem das Tool die vorgeschlagene Liste der Lösungen erstellt hat, wird die Liste zur Genehmigung angezeigt. Wenn die Liste genehmigt wurde, installiert das Tool alle diese Lösungen. Da der OOTB-Inhalt basierend auf Lösungen wiederhergestellt wird, erhalten Sie möglicherweise mehr Vorlagen, als Sie tatsächlich verwenden.
Dieses zentrale Tool ist eine beste Methode, um Ihre IN USE OOTB-Inhaltsvorlagen aus dem Inhaltshub wiederhergestellt zu lassen. Sie können ausgelassene OOTB-Inhalte direkt aus dem Inhaltshub installieren.
Was geschieht, wenn ich APIs verwende, um Datenquellen in meinem Microsoft Sentinel Arbeitsbereich zu verbinden?
Wenn eine API-Datenverbindung mit dem Datentyp des Datenconnectors übereinstimmt, wird sie derzeit als Status = Verbunden im Datenconnectorkatalog angezeigt. Nachdem die Zentralisierungsänderungen live geschaltet wurden, muss der spezifische Datenconnector aus einer entsprechenden Lösung installiert werden, um das gleiche Verhalten zu erhalten.
Erforderliche Aktion: Planen Sie, Prozesse oder Tools für Ihre Datenconnectorbereitstellungen zu aktualisieren, um sie über Content Hub-Lösungen zu installieren, bevor Sie eine Verbindung mit Datenerfassungs-APIs herstellen. Der REST-API-Operator für die Installation einer Lösung wird im 2. Quartal 2023 mit den OOTB-Inhaltsverwaltungs-APIs verfügbar sein.
Was geschieht, wenn ich mit Inhalten arbeite, indem ich das Repositoryfeature in Microsoft Sentinel verwende?
Repositorys stellen speziell benutzerdefinierte oder aktive Inhalte in Microsoft Sentinel bereit. Die OOTB-Inhaltszentralisierungsänderungen wirken sich nicht auf Inhalte aus, die über das Repositoryfeature bereitgestellt werden.
Wirkt sich dies auf Bereitstellungsgruppen im Arbeitsbereichs-Manager aus?
Genau wie Repositorys stellt der Arbeitsbereichs-Manager nur benutzerdefinierte oder aktive Inhalte bereit, sodass sich die OOTB-Inhaltszentralisierungsänderungen auch nicht auf Inhalte auswirken, die über den Arbeitsbereichs-Manager bereitgestellt werden.
Nächste Schritte
Sehen Sie sich diese anderen Ressourcen für OOTB-Inhalte und den Inhaltshub an: