Entdecken und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Der Microsoft Sentinel Content Hub ist Ihr zentraler Ort zum Ermitteln und Verwalten von vordefinierten (integrierten) Inhalten. Dort finden Sie gepackte Lösungen für End-to-End-Produkte nach Domäne oder Branche. Sie haben Zugriff auf die große Anzahl eigenständiger Beiträge, die in unserem GitHub-Repository und unseren Featureblättern gehostet werden.

  • Entdecken Sie Lösungen und eigenständige Inhalte mit konsistenten Filterfunktionen basierend auf status, Inhaltstyp, Support, Anbieter und Kategorie.

  • Installieren Sie Inhalte in Ihrem Arbeitsbereich gleichzeitig oder einzeln.

  • Zeigen Sie Inhalte in der Listenansicht an, und sehen Sie schnell, welche Lösungen über Updates verfügen. Alle Lösungen gleichzeitig aktualisieren, während eigenständige Inhalte automatisch aktualisiert werden.

  • Verwalten Sie eine Lösung, um ihre Inhaltstypen zu installieren und die neuesten Änderungen abzurufen.

  • Konfigurieren Sie eigenständige Inhalte, um neue aktive Elemente basierend auf der aktuellsten Vorlage zu erstellen.

Wenn Sie ein Partner sind, der Ihre eigene Lösung erstellen möchte, lesen Sie den Microsoft Sentinel Lösungserstellungsleitfaden für die Erstellung und Veröffentlichung von Lösungen.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Um eigenständige Inhalte oder Lösungen im Inhaltshub zu installieren, zu aktualisieren und zu löschen, benötigen Sie die Rolle Microsoft Sentinel Mitwirkender auf Ressourcengruppenebene.

Weitere Informationen zu anderen Rollen und Berechtigungen, die für Microsoft Sentinel unterstützt werden, finden Sie unter Berechtigungen in Microsoft Sentinel.

Erkunden von Inhalten

Der Inhaltshub bietet die beste Möglichkeit, neue Inhalte zu finden oder die bereits installierten Lösungen zu verwalten.

  1. Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Content Management>Content Hub aus. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltungdie Option Inhaltshub aus.

    Auf der Seite Inhaltshub wird ein durchsuchbares Raster oder eine Liste von Lösungen und eigenständigen Inhalten angezeigt.

  2. Suchen Sie nach den Lösungen oder eigenständigen Inhaltselementen, die Sie benötigen. Wählen Sie entweder bestimmte Werte aus den Filtern aus, oder geben Sie einen Suchbegriff in das Suchfeld ein. Suchvorgänge verwenden KI, um Fuzzysuchen und ungefähres Vokabular zu unterstützen.

    Drücken Sie bei der Suche unbedingt die EINGABETASTE , um die Suche zu starten. Die Anzahl der Suchergebnisse ist auf 50 Elemente beschränkt, einschließlich Lösungen und Inhaltselementen, die in Lösungen gefunden wurden. Wenn Sie das Gesuchte nicht finden, versuchen Sie, den Suchausdruck zu verfeinern oder andere Filter zu verwenden.

    Weitere Informationen finden Sie unter Kategorien für Microsoft Sentinel sofort einsatzbereite Inhalte und Lösungen.

  3. Wählen Sie in der Listenansicht ( ) eine Lösung aus der Liste aus, um Informationen zur Lösung sowie die Darin enthaltenen Inhaltselemente anzuzeigen.

    Erweitern Sie eine Projektmappe in den Such- oder Filterergebnissen, um die Liste der darin enthaltenen Inhaltselemente anzuzeigen. Der Informationsbereich auf der Seite enthält ausführliche Informationen zum Inhaltselement.

    Wählen Sie alternativ die Karte Ansicht ( ) aus, um in einem Raster dargestellte Lösungen anzuzeigen. Jede Karte zeigt den Namen, die Beschreibung und die Kategorien der Lösung an. Wählen Sie einen Karte aus, um weitere Informationen zur Lösung auf der Seite anzuzeigen.

Um ein Inhaltselement zu verwenden, das Teil einer Lösung ist, müssen Sie die gesamte Lösung installieren. Wenn Sie in der Listenansicht ein bestimmtes Inhaltselement ausgewählt haben, wählen Sie lösung installieren im Detailbereich auf der Seite aus, um die entsprechende Lösung zu installieren.

Weitere Informationen finden Sie unter Kategorien für Microsoft Sentinel sofort einsatzbereite Inhalte und Lösungen.

Installieren oder Aktualisieren von Inhalten

Installieren Sie eigenständige Inhalte und Lösungen einzeln oder zusammen in einem Massenvorgang. Weitere Informationen zu Massenvorgängen finden Sie im nächsten Abschnitt unter Masseninstallation und -aktualisierung .

Wenn eine Von Ihnen bereitgestellte Lösung über Updates seit der letzten Bereitstellung verfügt, wird in der Listenansicht Update in der spalte status angezeigt. Die Lösung ist auch in der Updates am oberen Rand der Seite enthalten.

Hier sehen Sie ein Beispiel für die Installation einer einzelnen Lösung.

  1. Suchen Sie im Inhaltshub nach der Lösung, und wählen Sie sie aus.

  2. Wählen Sie im Bereich mit den Lösungsdetails unten rechts die Option Details anzeigen aus.

  3. Wählen Sie Erstellen oder aktualisieren aus.

  4. Geben Sie auf der Registerkarte Grundlagen das Abonnement, die Ressourcengruppe und den Arbeitsbereich ein, um die Lösung bereitzustellen. Zum Beispiel:

    Screenshot eines Lösungsinstallations-Assistenten mit der Registerkarte

  5. Wählen Sie Weiter aus, um die verbleibenden Registerkarten zu durchlaufen, um sich über die einzelnen Inhaltskomponenten zu informieren und in einigen Fällen zu konfigurieren.

    Die Registerkarten entsprechen dem Inhalt der Lösung. Unterschiedliche Lösungen verfügen möglicherweise über unterschiedliche Inhaltstypen, sodass möglicherweise nicht in jeder Projektmappe dieselben Registerkarten angezeigt werden.

    Möglicherweise werden Sie auch aufgefordert, Anmeldeinformationen für einen Nicht-Microsoft-Dienst einzugeben, damit Microsoft Sentinel sich bei Ihren Systemen authentifizieren können. Bei Playbooks können Sie z. B. Reaktionsaktionen durchführen, die in Ihrem System vorgeschrieben sind.

  6. Warten Sie auf der Registerkarte Überprüfen + erstellen auf die Validation Passed Nachricht.

  7. Wählen Sie Erstellen oder Aktualisieren aus, um die Lösung bereitzustellen. Sie können auch den Link Vorlage für Automatisierung herunterladen auswählen, um die Lösung als Code bereitzustellen.

Installieren mit Abhängigkeiten

Einige Lösungen müssen installiert werden, einschließlich vieler Domänenlösungen und Lösungen, die die vereinheitlichten AMA-Connectors für CEF, Syslog oder benutzerdefinierte Protokolle verwenden.

Wählen Sie in solchen Fällen Mit Abhängigkeiten installieren aus, um sicherzustellen, dass auch die erforderlichen Datenconnectors installiert sind. Wählen Sie dort eine oder mehrere der Abhängigkeiten aus, um sie zusammen mit der ursprünglichen Lösung zu installieren. Die ursprüngliche Lösung, die Sie für die Installation ausgewählt haben, ist standardmäßig immer ausgewählt.

Wenn mindestens eine der Abhängigkeitslösungen bereits installiert ist, aber Über Updates verfügt, verwenden Sie die Schaltfläche Installieren/Aktualisieren , um alle ausgewählten Lösungen in einem Massenvorgang zu installieren und zu aktualisieren. Zum Beispiel:

Screenshot: Masseninstallation mehrerer Lösungsabhängigkeiten

Nachdem Sie eine Lösung installiert haben, sind für jeden Inhaltstyp innerhalb der Projektmappe möglicherweise weitere Schritte zum Konfigurieren erforderlich. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.

Masseninstallation und -aktualisierung von Inhalten

Der Inhaltshub unterstützt zusätzlich zur Standardansicht Karte eine Listenansicht. Wählen Sie die Listenansicht aus, um mehrere Lösungen und eigenständige Inhalte gleichzeitig zu installieren. Eigenständige Inhalte werden automatisch auf dem neuesten Stand gehalten. Alle aktiven oder benutzerdefinierten Inhalte, die auf Der Grundlage von Lösungen oder eigenständigen Inhalten erstellt wurden, die vom Inhaltshub installiert werden, bleiben unverändert.

  1. Um Elemente in einem Massenvorgang zu installieren oder zu aktualisieren, wechseln Sie zur Listenansicht.

  2. Suchen Oder filtern Sie nach dem Inhalt, den Sie installieren oder aktualisieren möchten.

  3. Aktivieren Sie das Kontrollkästchen für alle Projektmappen oder eigenständigen Inhalte, die Sie installieren oder aktualisieren möchten.

  4. Wählen Sie die Schaltfläche Installieren/Aktualisieren aus. Screenshot der Lösungslistenansicht mit mehreren ausgewählten Lösungen, die zur Installation ausgeführt werden.

    Wenn eine von Ihnen ausgewählte Lösung oder eigenständiger Inhalt bereits installiert oder aktualisiert wurde, wird für dieses Element keine Aktion ausgeführt. Das Update und die Installation der anderen Elemente werden dadurch nicht beeinträchtigt.

  5. Wählen Sie für jede von Ihnen installierte Lösung Verwalten aus. Inhaltstypen innerhalb der Lösung erfordern möglicherweise weitere Informationen, die Sie konfigurieren können. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.

Installieren von Paketen und Vorlagen mithilfe der API

Wenn Sie die API zum Installieren von Lösungspaketen oder einzelnen Vorlagen verwenden, führen Sie die folgenden Schritte aus:

  1. Rufen Sie das Lösungspaket oder die Vorlage ab:

  2. Suchen Sie in der API-Antwort nach dem properties.mainTemplate Feld. Dieses Feld enthält den JSON-Code der ARM-Vorlage, der die Lösungs- oder Vorlagenressourcen definiert.

  3. Stellen Sie die extrahierte mainTemplate mithilfe einer ARM-Vorlagenbereitstellung bereit, entweder über die Rest-API, Azure CLI oder PowerShell.

Aktivieren von Inhaltselementen in einer Lösung

Zentrales Verwalten von Inhaltselementen für installierte Lösungen aus dem Inhaltshub.

  1. Wählen Sie im Inhaltshub eine installierte Lösung aus, bei der die Version 2.0.0 oder höher ist.

  2. Wählen Sie auf der Seite mit den Lösungsdetails die Option Verwalten aus.

    Screenshot der Schaltfläche

  3. Überprüfen Sie die Liste der Inhaltselemente.

    Screenshot: Beschreibung der Lösung und Liste der Inhaltselemente für Azure-Aktivitätslösung.

  4. Wählen Sie ein Inhaltselement aus, um zu beginnen.

Verwalten der einzelnen Inhaltstypen

Die folgenden Abschnitte enthalten einige Tipps zum Arbeiten mit den verschiedenen Inhaltstypen beim Verwalten einer Lösung.

Datenconnector

Führen Sie die Konfigurationsschritte aus, um eine Verbindung mit einem Datenconnector herzustellen.

  1. Connector-Seite öffnen auswählen.

  2. Führen Sie die Konfigurationsschritte für den Datenconnector aus.

    Screenshot des Inhaltselements des Datenconnectors für Azure-Aktivitätslösung, bei dem status getrennt ist.

    Nachdem Sie den Datenconnector konfiguriert haben und Protokolle erkannt werden, ändert sich die status in Verbunden.

Analyseregel

Erstellen Sie eine Regel aus einer Vorlage, oder bearbeiten Sie eine vorhandene Regel.

  1. Zeigen Sie die Vorlage im Analysevorlagenkatalog an.

  2. Wenn die Vorlage noch nicht verwendet wurde, wählen SieRegel erstellenöffnen> aus, und führen Sie die Schritte zum Aktivieren der Analyseregel aus.

    Nachdem Sie eine Regel erstellt haben, wird die Anzahl der aktiven Regeln, die aus der Vorlage erstellt wurden, in der Spalte Erstellter Inhalt angezeigt.

  3. Wählen Sie den Link aktive Regeln aus, um die vorhandene Regel zu bearbeiten. Der aktive Regellink in der folgenden Abbildung befindet sich beispielsweise unter Inhalt erstellt und zeigt 2 Elemente an.

    Screenshot des Inhaltselements der Analyseregel in der Lösung für Azure-Aktivität.

Hunting-Abfrage

Führen Sie die bereitgestellte Huntingabfrage aus, oder passen Sie sie an.

  1. Um sofort mit der Suche zu beginnen, wählen Sie abfrage ausführen auf der Detailseite aus, um schnelle Ergebnisse zu erhalten.

    Screenshot: Inhaltselement der geklonten Huntingabfrage in der Lösung für Azure-Aktivität.

  2. Wählen Sie zum Anpassen Der Suchabfrage den Link in der Spalte Inhaltsname aus.

    Im Hunting-Katalog können Sie einen Klon der schreibgeschützten Huntingabfragevorlage erstellen, indem Sie zum Menü mit den Auslassungspunkten wechseln. Auf diese Weise erstellte Huntingabfragen werden als Elemente in der Inhaltshubspalte Erstellt angezeigt.

Arbeitsmappe

Um eine arbeitsmappe anzupassen, die aus einer Vorlage erstellt wurde, erstellen Sie eine instance einer Arbeitsmappe.

  1. Wählen Sie Vorlage anzeigen aus, um die Arbeitsmappe zu öffnen und die Visualisierungen anzuzeigen.

  2. Wählen Sie Speichern aus, um eine instance der Arbeitsmappenvorlage zu erstellen.

  3. Zeigen Sie Ihre gespeicherte anpassbare Arbeitsmappe an, indem Sie Gespeicherte Arbeitsmappe anzeigen auswählen.

  4. Wählen Sie im Inhaltshub den Link 1 Element in der Spalte Erstellter Inhalt aus, um die Arbeitsmappe zu verwalten.

    Screenshot des gespeicherten Arbeitsmappenelements in der Projektmappe für Azure-Aktivität.

Parser

Wenn eine Lösung installiert ist, werden alle enthaltenen Parser als Arbeitsbereichsfunktionen in Log Analytics hinzugefügt.

  1. Wählen Sie Funktionscode laden aus, um Log Analytics zu öffnen und den Funktionscode anzuzeigen oder auszuführen.

  2. Wählen Sie Im Editor verwenden aus, um Log Analytics mit dem Parsernamen zu öffnen, der ihrer benutzerdefinierten Abfrage hinzugefügt werden kann.

    Screenshot des Parserinhaltstyps in einer Projektmappe.

Playbook

Erstellen Sie ein Playbook aus einer Vorlage.

  1. Wählen Sie den Link Inhaltsname des Playbooks aus.

  2. Wählen Sie die Vorlage und dann Playbook erstellen aus.

  3. Nachdem das Playbook erstellt wurde, wird das aktive Playbook in der Spalte Erstellter Inhalt angezeigt.

  4. Wählen Sie den Aktiven Link playbook 1 element aus, um das Playbook zu verwalten.

    Screenshot: Inhaltstyp des Playbooktyps in einer Lösung

Suchen des Supportmodells für Ihre Inhalte

Jedes Lösungs- und eigenständige Inhaltselement erläutert das Supportmodell im Detailbereich im Feld Support , in dem entweder Microsoft oder der Name eines Partners aufgeführt ist. Zum Beispiel:

Screenshot: Dort finden Sie Ihr Supportmodell für Ihre Lösung.

Wenn Sie sich an den Support wenden, benötigen Sie möglicherweise weitere Details zu Ihrer Lösung, z. B. Herausgeber, Anbieter und Plan-ID-Werte. Diese Informationen finden Sie auf der Detailseite auf der Registerkarte Nutzungsinformationen & Support .

Screenshot: Nutzungs- und Supportdetails für eine Lösung

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie integrierte Lösungen und eigenständige Inhalte für Microsoft Sentinel finden und bereitstellen.

Viele Lösungen enthalten Datenconnectors, die Sie konfigurieren müssen, damit Sie mit der Erfassung Ihrer Daten in Microsoft Sentinel beginnen können. Jeder Datenconnector hat einen eigenen Satz von Anforderungen, die auf der Datenconnectorseite in Microsoft Sentinel ausführlich beschrieben werden.

Weitere Informationen finden Sie unter Verbinden ihrer Datenquelle.

  • Last updated on