Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte

  • Artikel

Der Microsoft Sentinel-Inhaltshub ist ein zentraler Ort zum Entdecken und Verwalten sofort einsatzbereiter (integrierter) Inhalte. Dort finden Sie gepackte Lösungen für End-to-End-Produkte nach Domäne oder Branche. Außerdem haben Sie Zugriff auf die zahlreichen eigenständigen Beiträge, die in unserem GitHub-Repository und auf unseren Featureblättern gehostet werden.

  • Entdecken Sie Lösungen und eigenständige Inhalte mit konsistenten Filterfunktionen basierend auf Status, Inhaltstyp, Unterstützung, Anbieter und Kategorie.

  • Installieren Sie Inhalte in Ihrem Arbeitsbereich alle auf einmal oder einzeln.

  • Zeigen Sie Inhalte in der Listenansicht an, und erkennen Sie schnell, für welche Lösungen Updates vorhanden sind. Aktualisieren Sie alle Lösungen auf einmal. (Eigenständige Inhalte werden automatisch aktualisiert.)

  • Verwalten Sie eine Lösung, um deren Inhaltstypen zu installieren und die neuesten Änderungen abzurufen.

  • Konfigurieren Sie eigenständige Inhalte, um neue aktive Elemente basierend auf der neuesten Vorlage zu erstellen.

Wenn Sie Ihre eigene Lösung erstellen möchten, finden Sie Informationen zur Lösungserstellung und -veröffentlichung im Leitfaden zum Erstellen von Microsoft Sentinel-Lösungen.

Voraussetzungen

Um eigenständige Inhalte oder Lösungen aus dem Inhaltshub installieren, aktualisieren oder löschen zu können, müssen Sie auf Ressourcengruppenebene über die Rolle Microsoft Sentinel-Mitwirkender verfügen. Darüber hinaus ist die Rolle Vorlagenspezifikations-Mitwirkender für einige Grenzfälle weiterhin erforderlich. Ausführliche Informationen zu dieser Rolle finden Sie unter Integrierte Azure RBAC-Rollen.

Dies gilt zusätzlich zu den spezifischen Rollen von Sentinel. Weitere Informationen zu anderen Rollen und Berechtigungen, die für Microsoft Sentinel unterstützt werden, finden Sie unter Berechtigungen in Microsoft Sentinel.

Inhalt ermitteln

Der Inhaltshub ist die beste Methode, um neue Inhalte zu finden oder Ihre bereits installierten Lösungen zu verwalten.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü unter Inhaltsverwaltung die Option Inhaltshub aus.

  2. Auf der Seite Inhaltshub wird ein durchsuchbares Raster oder eine Liste mit Lösungen und eigenständigen Inhalten angezeigt.

    Filtern Sie die angezeigte Liste, indem Sie entweder bestimmte Werte aus den Filtern auswählen oder einen beliebigen Teil eines Inhaltsnamens oder einer Beschreibung in das Feld Suchen eingeben.

    Weitere Informationen finden Sie unter Kategorien für vorkonfigurierte Microsoft Sentinel-Inhalte und -Lösungen.

    Tipp

    Wenn für eine von Ihnen bereitgestellte Lösung seit der Bereitstellung Updates vorhanden sind, wird in der Listenansicht in der Statusspalte ein blauer Aufwärtspfeil angezeigt, der oben auf der Seite in die Anzahl der blauen Aufwärtspfeile für Updates aufgenommen wird.

Für jedes der Inhaltselemente werden die entsprechenden Kategorien und für Lösungen die enthaltenen Inhaltstypen angezeigt.

In der folgenden Abbildung wird beispielsweise für die Lösung Cisco Umbrella eine der Kategorien als Sicherheit - Cloudsicherheit angezeigt, und es ist zu sehen, dass sie einen Datenconnector, Analyseregeln, Hunting-Abfragen, Playbooks und mehr umfasst.

Screenshot of the Microsoft Sentinel content hub.

Installieren oder Aktualisieren von Inhalten

Eigenständige Inhalte und Lösungen können einzeln oder gemeinsam per Massenvorgang installiert werden. Weitere Informationen zu Massenvorgängen finden Sie im nächsten Abschnitt unter Installieren und Aktualisieren von Inhalten per Massenvorgang. Hier sehen Sie ein Beispiel für die Installation einer einzelnen Lösung:

  1. Wechseln Sie im Inhaltshub zur Kartenansicht, um weitere Informationen zu einer Lösung anzuzeigen.

  2. Wählen Sie dann Details anzeigen aus, um die Installationsschritte zu initiieren.

  3. Wählen Sie auf der Seite mit den Lösungsdetails Erstellen oder Aktualisieren aus, um den Lösungsassistenten zu starten. Geben Sie auf der Registerkarte Grundlagen das Abonnement, die Ressourcengruppe und den Arbeitsbereich ein, um die Lösung bereitzustellen. Beispiel:

    Screenshot of a solution installation wizard, showing the Basics tab.

  4. Klicken Sie auf Weiter, um die verbleibenden Registerkarten (entsprechend den in der Lösung enthaltenen Komponenten) zu durchlaufen, auf denen Sie die einzelnen Inhaltskomponenten kennenlernen und in einigen Fällen konfigurieren können.

    Hinweis

    Die angezeigten Registerkarten entsprechen dem Inhalt, der von der Lösung angeboten wird. Verschiedene Lösungen können unterschiedliche Arten von Inhalten enthalten, sodass nicht in jeder Lösung die gleichen Registerkarten angezeigt werden.

    Sie werden möglicherweise auch aufgefordert, Anmeldeinformationen für einen Drittanbieterdienst einzugeben, damit Microsoft Sentinel sich bei Ihren Systemen authentifizieren können. Bei Playbooks können Sie beispielsweise Reaktionsaktionen wie in Ihrem System vorgeschrieben ausführen.

  5. Warten Sie schließlich, bis auf der Registerkarte Überprüfen und Erstellen die Validation PassedMeldung angezeigt wird, und wählen Sie dann Erstellen oder Aktualisieren aus, um die Lösung bereitzustellen. Sie können auch den Link Vorlage für Automatisierung herunterladen auswählen, um die Lösung als Code bereitzustellen.

  6. Jeder Inhaltstyp innerhalb der Lösung erfordert möglicherweise zusätzliche Konfigurationsschritte. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.

Installieren und Aktualisieren von Inhalten per Massenvorgang

Der Inhaltshub unterstützt eine Listenansicht zusätzlich zur Standardkartenansicht. In dieser Ansicht können mehrere Lösungen und eigenständige Inhalte ausgewählt werden, um sie alle gleichzeitig zu installieren und zu aktualisieren. Eigenständige Inhalte werden automatisch auf dem neuesten Stand gehalten. Aktive oder benutzerdefinierte Inhalte, die auf der Grundlage von über den Content Hub installierten Lösungen oder eigenständigen Inhalten erstellt wurden, bleiben unverändert.

  1. Um Elemente massenhaft zu installieren und/oder zu aktualisieren, wechseln Sie in die Listenansicht.

  2. Die Listenansicht ist paginiert. Wählen Sie also einen Filter aus, um sicherzustellen, dass die Inhalte, die Sie per Massenvorgang installieren möchten, angezeigt werden. Aktivieren Sie die entsprechenden Kontrollkästchen und klicken Sie auf die Schaltfläche Installieren/Aktualisieren. Screenshot of solutions list view with multiple solutions selected and in progress for installation.

  3. Die Inhaltshub-Oberfläche zeigt an, dass Installationen und Updates ausgeführt werden. Azure-Benachrichtigungen geben auch die durchgeführte Aktion an. Wenn eine Lösung oder ein eigenständiger Inhalt ausgewählt wurde, die bzw. der bereits installiert oder aktualisiert wurde, wird für das entsprechende Element keine Aktion ausgeführt, und die Aktualisierung bzw. Installation der anderen Elemente wird nicht beeinträchtigt.

  4. Überprüfen Sie die Ansicht Verwalten jeder installierten Lösung. Inhaltstypen innerhalb der Lösung erfordert möglicherweise zusätzliche Konfigurationsschritte. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.

Aktivieren von Inhaltselementen in einer Lösung

Verwalten Sie Inhaltselemente für installierte Lösungen zentral über den Inhaltshub.

  1. Wählen Sie im Inhaltshub eine installierte Lösung der Version 2.0.0 oder höher aus.

  2. Wählen Sie auf der Seite mit den Lösungsdetails die Option Verwalten aus.

    Screenshot of manage button on details page of the Azure Activity content hub solution.

  3. Überprüfen Sie die Liste der Inhaltselemente.

    Screenshot of solution description and list of content items for Azure Activity solution.

  4. Wählen Sie ein Inhaltselement aus, um zu beginnen.

Verwaltungsoptionen für jeden Inhaltstyp

Nachfolgend finden Sie einige Tipps zur Interaktion mit verschiedenen Inhaltstypen beim Verwalten einer Lösung:

Datenconnector

  1. Wählen Sie Connectorseite öffnen aus.

  2. Führen Sie die Konfigurationsschritte für den Datenconnector aus.

    Screenshot of data connector content item for Azure Activity solution where status is disconnected.

  3. Nachdem Sie den Datenconnector konfiguriert haben und Protokolle erkannt wurden, ändert sich der Status in Verbunden.

Analyseregel

  1. Zeigen Sie die Vorlage im Analysevorlagenkatalog an.

  2. Wenn die Vorlage noch nicht verwendet wurde, wählen Sie Öffnen>Regel erstellen aus und befolgen Sie die Schritte zum Aktivieren der Analyseregel.

  3. Nach der Erstellung wird die Anzahl der aus der Vorlage erstellten aktiven Regeln in der Spalte Erstellter Inhalt angezeigt.

  4. Klicken Sie auf den Link für aktive Regeln, in diesem Beispiel 2 Elemente, um die vorhandene Regel zu bearbeiten.

    Screenshot of analytics rule content item in solution for Azure Activity.

Hunting-Abfrage

  1. Um sofort mit der Suche zu beginnen, wählen Sie für schnelle Ergebnisse auf der Detailseite Abfrage ausführen aus.

    Screenshot of cloned hunting query content item in solution for Azure Activity.

  2. Um Ihre Hunting-Abfrage anzupassen, wählen Sie den Link, in diesem Fall Gemeinsam bereitgestellte Ressourcen, in der Spalte Inhaltsname aus.

  3. Dadurch gelangen Sie zum Hunting-Katalog, in dem Sie einen Klon der schreibgeschützten Hunting-Abfragevorlage erstellen können, indem Sie auf das Menü „Auslassungspunkte“ zugreifen. Auf diese Weise erstellte Hunting-Abfragen werden als Elemente in der Inhaltshub-Spalte Erstellter Inhalt angezeigt.

Arbeitsmappe

  1. Wählen Sie Vorlage anzeigen aus, um die Arbeitsmappe zu öffnen und die Visualisierungen anzuzeigen.

  2. Um eine Instanz der Arbeitsmappenvorlage zu erstellen, wählen Sie Speichern.

  3. Zeigen Sie Ihre gespeicherte anpassbare Arbeitsmappe an, indem Sie Gespeicherte Arbeitsmappe anzeigen auswählen.

  4. Wählen Sie im Inhaltshub den Link 1 Element in der Spalte Erstellter Inhalt aus, um die Arbeitsmappe zu verwalten.

    Screenshot of saved workbook item in solution for Azure Activity.

Parser

Bei der Installation einer Lösung werden alle darin enthaltenen Parser als Arbeitsbereichsfunktionen in Log Analytics hinzugefügt.

  1. Wählen Sie Funktionscode laden aus, um Log Analytics zu öffnen und den Funktionscode anzuzeigen oder auszuführen.

  2. Wählen Sie Im Editor verwenden aus, um Log Analytics mit dem Parsernamen zu öffnen, der Ihrer benutzerdefinierten Abfrage hinzugefügt werden kann.

    Screenshot of parser content type in a solution.

Playbook

  1. Wählen Sie den Link Inhaltsname des Playbooks aus, in diesem Beispiel BatchImportToSentinel.

  2. Diese Playbook-Vorlage füllt das Suchfeld aus. Wählen Sie aus den Ergebnissen die Vorlage und dann Playbook erstellen aus.

  3. Nach der Erstellung wird das aktive Playbook in der Spalte Erstellter Inhalt angezeigt.

  4. Klicken Sie auf den aktiven Playbook-Link 1 Element, um das Playbook zu verwalten.

    Screenshot of playbook type content type in a solution.

Ermitteln des Supportmodells für Ihren Inhalt

Jede Lösung und jedes eigenständige Inhaltselement erläutert ihr bzw. sein Supportmodell im Detailbereich im Feld Support. Dort ist entweder Microsoft oder der Name eines Partners angegeben. Beispiel:

Screenshot of where you can find your support model for your solution.

Wenn Sie sich an den Support wenden, benötigen Sie möglicherweise weitere Details zu Ihrer Lösung, z. B. Werte für Herausgeber, Anbieter und Plan-ID. Diese Angaben finden Sie auf der Detailseite auf der Registerkarte Nutzungsinformationen & Support. Zum Beispiel:

Screenshot of usage and support details for a solution.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie integrierte Lösungen und eigenständige Inhalte für Microsoft Sentinel finden und bereitstellen.

Viele Lösungen umfassen Datenconnectors, die Sie konfigurieren müssen, damit Sie ihre Daten in Microsoft Sentinel erfassen können. Für jeden Datenconnector gelten eigene Anforderungen, die auf der Datenconnectorseite in Microsoft Sentinel ausführlich beschrieben werden.

Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einer Datenquelle.