Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Microsoft Sentinel-Inhaltshub ist ein zentraler Ort zum Entdecken und Verwalten sofort einsatzbereiter (integrierter) Inhalte. Dort finden Sie gepackte Lösungen für End-to-End-Produkte nach Domäne oder Branche. Sie haben Zugriff auf die zahlreichen eigenständigen Beiträge, die in unserem GitHub-Repository und auf unseren Featureblättern gehostet werden.
Entdecken Sie Lösungen und eigenständige Inhalte mit konsistenten Filterfunktionen basierend auf Status, Inhaltstyp, Unterstützung, Anbieter und Kategorie.
Installieren Sie Inhalte in Ihrem Arbeitsbereich alle auf einmal oder einzeln.
Zeigen Sie Inhalte in der Listenansicht an, und erkennen Sie schnell, für welche Lösungen Updates vorhanden sind. Aktualisieren Sie alle Lösungen auf einmal. (Eigenständige Inhalte werden automatisch aktualisiert.)
Verwalten Sie eine Lösung, um deren Inhaltstypen zu installieren und die neuesten Änderungen abzurufen.
Konfigurieren Sie eigenständige Inhalte, um neue aktive Elemente basierend auf der neuesten Vorlage zu erstellen.
Wenn Sie ein Partner sind, der Ihre eigene Lösung erstellen möchte, lesen Sie den Microsoft Sentinel Solutions Build Guide für die Erstellung und Veröffentlichung von Lösungen.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Voraussetzungen
Um eigenständige Inhalte oder Lösungen im Inhaltshub zu installieren, zu aktualisieren und zu löschen, benötigen Sie die Rolle "Microsoft Sentinel-Mitwirkender" auf Ressourcengruppenebene.
Weitere Informationen zu anderen Rollen und Berechtigungen, die für Microsoft Sentinel unterstützt werden, finden Sie unter "Berechtigungen" in Microsoft Sentinel.
Inhalt ermitteln
Der Inhaltshub ist die beste Methode, um neue Inhalte zu finden oder Ihre bereits installierten Lösungen zu verwalten.
Wählen Sie bei Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Inhaltsverwaltung>Inhaltshub aus. Wählen Sie für Microsoft Sentinel im Azure-Portal unter "Inhaltsverwaltung" den Inhaltshub aus.
Auf der Inhaltshubseite wird ein durchsuchbares Raster oder eine Liste von Lösungen und eigenständigen Inhalten angezeigt.
Suchen Sie nach Lösungen oder eigenständigen Inhaltselementen, die Sie benötigen. Wählen Sie entweder bestimmte Werte aus den Filtern aus, oder geben Sie einen Suchbegriff in das Suchfeld ein. Suchvorgänge verwenden KI, um Fuzzysuche und ungefähres Vokabular zu unterstützen.
Stellen Sie beim Suchen sicher, dass Sie die EINGABETASTE drücken, um die Suche zu starten. Die Anzahl der Suchergebnisse ist auf 50 beschränkt, einschließlich Lösungen und Inhaltselementen in Lösungen. Wenn die Suche nicht erfolgreich ist, versuchen Sie, den Suchausdruck zu optimieren, oder verwenden Sie andere Filter.
Weitere Informationen finden Sie unter Kategorien für Microsoft Sentinel Standardinhalte und -lösungen.
Wählen Sie in der Listenansicht (
) eine Lösung aus, um Informationen zur Lösung sowie zu den darin enthaltenen Inhaltselemente anzuzeigen.
Erweitern Sie eine Lösung in den Such- oder Filterergebnissen, um die Liste der darin enthaltenen Inhaltselemente anzuzeigen. Im Informationsbereich auf der Seite werden detaillierte Informationen zum jeweiligen Inhaltselement angezeigt.
Wählen Sie alternativ die Kartenansicht (
) aus, um Lösungen anzuzeigen, die in einem Raster dargestellt werden. Jede Karte zeigt den Lösungsnamen, die Beschreibung und die Kategorien an. Wählen Sie auf der Seite eine Karte aus, um weitere Informationen zur Lösung anzuzeigen.
Um ein Inhaltselement zu verwenden, das Teil einer Lösung ist, müssen Sie die gesamte Lösung installieren. Wenn Sie ein bestimmtes Inhaltselement in der Listenansicht ausgewählt haben, wählen Sie " Lösung installieren " im Detailbereich auf der Seite aus, um die relevante Lösung zu installieren.
Weitere Informationen finden Sie unter Kategorien für Microsoft Sentinel Standardinhalte und -lösungen.
Installieren oder Aktualisieren von Inhalten
Eigenständige Inhalte und Lösungen können einzeln oder gemeinsam per Massenvorgang installiert werden. Weitere Informationen zu Massenvorgängen finden Sie im nächsten Abschnitt unter Installieren und Aktualisieren von Inhalten per Massenvorgang.
Wenn eine von Ihnen bereitgestellte Lösung seit der letzten Bereitstellung Updates enthält, wird in der Listenansicht "Update" in der Statusspalte angezeigt. Die Lösung ist auch oben auf der Seite in der Anzahl der Updates enthalten.
Hier sehen Sie ein Beispiel für die Installation einer einzelnen Lösung:
Suchen Sie im Inhaltshub nach der Lösung, und wählen Sie sie aus.
Wählen Sie im Bereich "Lösungsdetails" von der unteren rechten Seite die Option "Details anzeigen" aus.
Wählen Sie "Erstellen " oder "Aktualisieren" aus.
Geben Sie auf der Registerkarte " Grundlagen " das Abonnement, die Ressourcengruppe und den Arbeitsbereich ein, um die Lösung bereitzustellen. Beispiel:
Wählen Sie "Weiter" aus, um die verbleibenden Registerkarten zu durchlaufen, um mehr über die einzelnen Inhaltskomponenten zu erfahren und in einigen Fällen zu konfigurieren.
Die Registerkarten entsprechen den Inhalten, die von der Lösung angeboten werden. Verschiedene Lösungen können unterschiedliche Arten von Inhalten enthalten, sodass unter Umständen nicht in jeder Lösung die gleichen Registerkarten angezeigt werden.
Sie werden möglicherweise auch aufgefordert, Anmeldeinformationen für einen Nicht-Microsoft-Dienst einzugeben, damit Microsoft Sentinel sich bei Ihren Systemen authentifizieren kann. Bei Playbooks können Sie beispielsweise ggf. erforderliche Antwortaktionen für Ihr System ausführen.
Warten Sie auf der Registerkarte "Überprüfen+ Erstellen " auf die
Validation Passed
Nachricht.Wählen Sie "Erstellen " oder "Aktualisieren" aus, um die Lösung bereitzustellen. Sie können auch den Link eine Vorlage für die Automatisierung herunterladen auswählen, um die Lösung als Code bereitzustellen.
Installieren mit Abhängigkeiten
Einige Lösungen verfügen über Abhängigkeiten zur Installation, einschließlich vieler Domänenlösungen und Lösungen, die die einheitlichen AMA-Connectors für CEF, Syslog oder benutzerdefinierte Protokolle verwenden.
Wählen Sie in solchen Fällen „Mit Abhängigkeiten installieren“ aus, um sicherzustellen, dass auch die erforderlichen Datenkonnektoren installiert sind. Wählen Sie dort mindestens eine Abhängigkeit aus, um sie zusammen mit der ursprünglichen Lösung zu installieren. Die Lösung, die Sie eigentlich installieren möchten, ist standardmäßig immer ausgewählt.
Wenn mindestens eine der Abhängigkeitslösungen bereits installiert ist, aber Über Updates verfügt, verwenden Sie die Schaltfläche " Installieren/Aktualisieren ", um alle ausgewählten Lösungen im Massenvorgang zu installieren und zu aktualisieren. Beispiel:
Nach der Installation einer Lösung erfordert jeder Inhaltstyp in der Lösung möglicherweise weitere Konfigurationsschritte. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.
Installieren und Aktualisieren von Inhalten per Massenvorgang
Der Inhaltshub unterstützt eine Listenansicht zusätzlich zur Standardkartenansicht. Wählen Sie die Listenansicht aus, um mehrere Lösungen und eigenständige Inhalte gleichzeitig zu installieren. Eigenständige Inhalte werden automatisch auf dem neuesten Stand gehalten. Aktive oder benutzerdefinierte Inhalte, die auf der Grundlage von über den Content Hub installierten Lösungen oder eigenständigen Inhalten erstellt wurden, bleiben unverändert.
Wenn Sie Elemente per Massenvorgang installieren und/oder aktualisieren möchten, wechseln Sie zur Listenansicht.
Suchen oder filtern Sie nach den Inhalten, die Sie per Massenvorgang installieren oder aktualisieren möchten.
Aktivieren Sie die Kontrollkästchen aller Lösungen oder eigenständigen Inhalte, die Sie installieren oder aktualisieren möchten.
Wählen Sie die Schaltfläche " Installieren/Aktualisieren " aus.
Wenn eine ausgewählte Lösung oder ein eigenständiger Inhalt bereits installiert oder aktualisiert wurde, wird keine Aktion für dieses Element ausgeführt. Die Aktualisierung oder Installation der anderen Elemente bleibt davon unberührt.
Wählen Sie "Verwalten" für jede installierte Lösung aus. Für Inhaltstypen innerhalb der Lösung müssen ggf. weitere Informationen konfiguriert werden. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.
Aktivieren von Inhaltselementen in einer Lösung
Verwalten Sie Inhaltselemente für installierte Lösungen zentral über den Inhaltshub.
Wählen Sie im Inhaltshub eine installierte Lösung der Version 2.0.0 oder höher aus.
Wählen Sie auf der Seite "Lösungsdetails" die Option "Verwalten" aus.
Überprüfen Sie die Liste der Inhaltselemente.
Wählen Sie ein Inhaltselement aus, um zu beginnen.
Verwalten der einzelnen Inhaltstypen
In den folgenden Abschnitten finden Sie einige Tipps zur Verwendung der verschiedenen Inhaltstypen im Rahmen der Verwaltung einer Lösung.
Datenconnector
Führen Sie zum Verbinden eines Datenconnectors die Konfigurationsschritte aus.
Wählen Sie Connectorseite öffnen aus.
Führen Sie die Konfigurationsschritte für den Datenconnector aus.
Nachdem Sie den Datenconnector konfiguriert haben und die Protokolle erfasst wurden, ändert sich der Status zu Verbunden.
Analyseregel
Erstellen Sie eine Regel auf der Grundlage einer Vorlage, oder bearbeiten Sie eine bereits vorhandene Regel.
Zeigen Sie die Vorlage im Analysevorlagenkatalog an.
Wenn die Vorlage noch nicht verwendet wird, wählen Sie "Regel erstellen"> aus, und führen Sie die Schritte aus, um die Analyseregel zu aktivieren.
Nachdem Sie eine Regel erstellt haben, wird die Anzahl der aktiven Regeln, die aus der Vorlage erstellt wurden, in der Spalte "Erstellter Inhalt " angezeigt.
Wählen Sie den Link für die aktiven Regeln aus, um die vorhandene Regel zu bearbeiten. Der aktive Regellink in der folgenden Abbildung befindet sich z. B. unter "Inhalt erstellt " und zeigt 2 Elemente an.
Hunting-Abfrage
Führen Sie die bereitgestellte Hunting-Abfrage aus, oder passen Sie sie an.
Um sofort mit der Suche zu beginnen, wählen Sie " Abfrage ausführen" auf der Detailseite aus, um schnelle Ergebnisse zu erhalten.
Um Ihre Sucheingabe anzupassen, wählen Sie den Link in der Spalte "Inhaltsname" aus.
Im Hunting-Katalog können Sie über das Menü mit den Auslassungspunkten einen Klon der schreibgeschützten Hunting-Abfragevorlage erstellen. Suchabfragen, die auf diese Weise erstellt wurden, werden als Elemente in der Spalte " Erstellter Inhalt " des Inhaltshubs angezeigt.
Arbeitsmappe
Erstellen Sie zum Anpassen einer Arbeitsmappe, die auf der Grundlage einer Vorlage erstellt wurde, eine Instanz einer Arbeitsmappe.
Wählen Sie die Vorlage "Ansicht" aus, um die Arbeitsmappe zu öffnen und die Visualisierungen anzuzeigen.
Wählen Sie "Speichern" aus, um eine Instanz der Arbeitsmappenvorlage zu erstellen.
Zeigen Sie Ihre gespeicherte anpassbare Arbeitsmappe an, indem Sie "Gespeicherte Arbeitsmappe anzeigen" auswählen.
Wählen Sie im Inhaltshub den Link "1 Element " in der Spalte "Erstellter Inhalt " aus, um die Arbeitsmappe zu verwalten.
Parser
Bei der Installation einer Lösung werden alle darin enthaltenen Parser als Arbeitsbereichsfunktionen in Log Analytics hinzugefügt.
Wählen Sie den Funktionscode laden aus, um Log Analytics zu öffnen und den Funktionscode anzuzeigen oder auszuführen.
Wählen Sie "Im Editor verwenden " aus, um Log Analytics mit dem Parsernamen zu öffnen, der zur benutzerdefinierten Abfrage hinzugefügt werden kann.
Playbook
Erstellen Sie ein Playbook auf der Grundlage einer Vorlage.
Wählen Sie den unter Inhaltsname bereitgestellten Link des Playbooks aus.
Wählen Sie die Vorlage und dann "Playbook erstellen" aus.
Nachdem das Playbook erstellt wurde, wird das aktive Playbook in der Spalte "Erstellter Inhalt " angezeigt.
Wählen Sie den Link 1 Element des aktiven Playbooks aus, um das Playbook zu verwalten.
Ermitteln des Supportmodells für Ihren Inhalt
Jedes Lösungs- und eigenständige Inhaltselement erläutert sein Supportmodell im Detailbereich im Feld "Support ", in dem entweder Microsoft oder der Name eines Partners aufgeführt ist. Beispiel:
Wenn Sie sich an den Support wenden, benötigen Sie möglicherweise weitere Details zu Ihrer Lösung, z. B. Werte für Herausgeber, Anbieter und Plan-ID. Suchen Sie diese Informationen auf der Detailseite auf der Registerkarte "Nutzungsinformationen und Support ".
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie integrierte Lösungen und eigenständige Inhalte für Microsoft Sentinel finden und bereitstellen.
- Erfahren Sie mehr über Microsoft Sentinel-Lösungen.
- Sehen Sie sich den vollständigen Microsoft Sentinel-Lösungskatalog im Azure Marketplace an.
- Suchen Sie domänenspezifische Lösungen im Microsoft Sentinel-Inhaltshubkatalog.
- Löschen Sie installierte Microsoft Sentinel-Out-of-the-Box-Inhalte und -Lösungen.
Viele Lösungen umfassen Datenconnectors, die Sie konfigurieren müssen, damit Sie Ihre Daten in Microsoft Sentinel erfassen können. Für jeden Datenconnector gelten eigene Anforderungen, die auf der Datenconnectorseite in Microsoft Sentinel ausführlich beschrieben werden.
Weitere Informationen finden Sie unter Verbinden Ihrer Datenquelle.