Freigeben über

Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Der Microsoft Sentinel-Inhaltshub ist ein zentraler Ort zum Entdecken und Verwalten sofort einsatzbereiter (integrierter) Inhalte. Dort finden Sie gepackte Lösungen für End-to-End-Produkte nach Domäne oder Branche. Sie haben Zugriff auf die zahlreichen eigenständigen Beiträge, die in unserem GitHub-Repository und auf unseren Featureblättern gehostet werden.

  • Entdecken Sie Lösungen und eigenständige Inhalte mit konsistenten Filterfunktionen basierend auf Status, Inhaltstyp, Unterstützung, Anbieter und Kategorie.

  • Installieren Sie Inhalte in Ihrem Arbeitsbereich alle auf einmal oder einzeln.

  • Zeigen Sie Inhalte in der Listenansicht an, und erkennen Sie schnell, für welche Lösungen Updates vorhanden sind. Aktualisieren Sie alle Lösungen auf einmal. (Eigenständige Inhalte werden automatisch aktualisiert.)

  • Verwalten Sie eine Lösung, um deren Inhaltstypen zu installieren und die neuesten Änderungen abzurufen.

  • Konfigurieren Sie eigenständige Inhalte, um neue aktive Elemente basierend auf der neuesten Vorlage zu erstellen.

Wenn Sie ein Partner sind, der Ihre eigene Lösung erstellen möchte, lesen Sie den Microsoft Sentinel Solutions Build Guide für die Erstellung und Veröffentlichung von Lösungen.

Wichtig

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Um eigenständige Inhalte oder Lösungen im Inhaltshub zu installieren, zu aktualisieren und zu löschen, benötigen Sie die Rolle "Microsoft Sentinel-Mitwirkender" auf Ressourcengruppenebene.

Weitere Informationen zu anderen Rollen und Berechtigungen, die für Microsoft Sentinel unterstützt werden, finden Sie unter "Berechtigungen" in Microsoft Sentinel.

Inhalt ermitteln

Der Inhaltshub ist die beste Methode, um neue Inhalte zu finden oder Ihre bereits installierten Lösungen zu verwalten.

  1. Wählen Sie bei Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Inhaltsverwaltung>Inhaltshub aus. Wählen Sie für Microsoft Sentinel im Azure-Portal unter "Inhaltsverwaltung" den Inhaltshub aus.

    Auf der Inhaltshubseite wird ein durchsuchbares Raster oder eine Liste von Lösungen und eigenständigen Inhalten angezeigt.

  2. Suchen Sie nach Lösungen oder eigenständigen Inhaltselementen, die Sie benötigen. Wählen Sie entweder bestimmte Werte aus den Filtern aus, oder geben Sie einen Suchbegriff in das Suchfeld ein. Suchvorgänge verwenden KI, um Fuzzysuche und ungefähres Vokabular zu unterstützen.

    Stellen Sie beim Suchen sicher, dass Sie die EINGABETASTE drücken, um die Suche zu starten. Die Anzahl der Suchergebnisse ist auf 50 beschränkt, einschließlich Lösungen und Inhaltselementen in Lösungen. Wenn die Suche nicht erfolgreich ist, versuchen Sie, den Suchausdruck zu optimieren, oder verwenden Sie andere Filter.

    Weitere Informationen finden Sie unter Kategorien für Microsoft Sentinel Standardinhalte und -lösungen.

  3. Wählen Sie in der Listenansicht () eine Lösung aus, um Informationen zur Lösung sowie zu den darin enthaltenen Inhaltselemente anzuzeigen.

    Erweitern Sie eine Lösung in den Such- oder Filterergebnissen, um die Liste der darin enthaltenen Inhaltselemente anzuzeigen. Im Informationsbereich auf der Seite werden detaillierte Informationen zum jeweiligen Inhaltselement angezeigt.

    Wählen Sie alternativ die Kartenansicht () aus, um Lösungen anzuzeigen, die in einem Raster dargestellt werden. Jede Karte zeigt den Lösungsnamen, die Beschreibung und die Kategorien an. Wählen Sie auf der Seite eine Karte aus, um weitere Informationen zur Lösung anzuzeigen.

Um ein Inhaltselement zu verwenden, das Teil einer Lösung ist, müssen Sie die gesamte Lösung installieren. Wenn Sie ein bestimmtes Inhaltselement in der Listenansicht ausgewählt haben, wählen Sie " Lösung installieren " im Detailbereich auf der Seite aus, um die relevante Lösung zu installieren.

Weitere Informationen finden Sie unter Kategorien für Microsoft Sentinel Standardinhalte und -lösungen.

Installieren oder Aktualisieren von Inhalten

Eigenständige Inhalte und Lösungen können einzeln oder gemeinsam per Massenvorgang installiert werden. Weitere Informationen zu Massenvorgängen finden Sie im nächsten Abschnitt unter Installieren und Aktualisieren von Inhalten per Massenvorgang.

Wenn eine von Ihnen bereitgestellte Lösung seit der letzten Bereitstellung Updates enthält, wird in der Listenansicht "Update" in der Statusspalte angezeigt. Die Lösung ist auch oben auf der Seite in der Anzahl der Updates enthalten.

Hier sehen Sie ein Beispiel für die Installation einer einzelnen Lösung:

  1. Suchen Sie im Inhaltshub nach der Lösung, und wählen Sie sie aus.

  2. Wählen Sie im Bereich "Lösungsdetails" von der unteren rechten Seite die Option "Details anzeigen" aus.

  3. Wählen Sie "Erstellen " oder "Aktualisieren" aus.

  4. Geben Sie auf der Registerkarte " Grundlagen " das Abonnement, die Ressourcengruppe und den Arbeitsbereich ein, um die Lösung bereitzustellen. Beispiel:

    Screenshot eines Lösungsinstallations-Assistenten mit der Registerkarte

  5. Wählen Sie "Weiter" aus, um die verbleibenden Registerkarten zu durchlaufen, um mehr über die einzelnen Inhaltskomponenten zu erfahren und in einigen Fällen zu konfigurieren.

    Die Registerkarten entsprechen den Inhalten, die von der Lösung angeboten werden. Verschiedene Lösungen können unterschiedliche Arten von Inhalten enthalten, sodass unter Umständen nicht in jeder Lösung die gleichen Registerkarten angezeigt werden.

    Sie werden möglicherweise auch aufgefordert, Anmeldeinformationen für einen Nicht-Microsoft-Dienst einzugeben, damit Microsoft Sentinel sich bei Ihren Systemen authentifizieren kann. Bei Playbooks können Sie beispielsweise ggf. erforderliche Antwortaktionen für Ihr System ausführen.

  6. Warten Sie auf der Registerkarte "Überprüfen+ Erstellen " auf die Validation Passed Nachricht.

  7. Wählen Sie "Erstellen " oder "Aktualisieren" aus, um die Lösung bereitzustellen. Sie können auch den Link eine Vorlage für die Automatisierung herunterladen auswählen, um die Lösung als Code bereitzustellen.

Installieren mit Abhängigkeiten

Einige Lösungen verfügen über Abhängigkeiten zur Installation, einschließlich vieler Domänenlösungen und Lösungen, die die einheitlichen AMA-Connectors für CEF, Syslog oder benutzerdefinierte Protokolle verwenden.

Wählen Sie in solchen Fällen „Mit Abhängigkeiten installieren“ aus, um sicherzustellen, dass auch die erforderlichen Datenkonnektoren installiert sind. Wählen Sie dort mindestens eine Abhängigkeit aus, um sie zusammen mit der ursprünglichen Lösung zu installieren. Die Lösung, die Sie eigentlich installieren möchten, ist standardmäßig immer ausgewählt.

Wenn mindestens eine der Abhängigkeitslösungen bereits installiert ist, aber Über Updates verfügt, verwenden Sie die Schaltfläche " Installieren/Aktualisieren ", um alle ausgewählten Lösungen im Massenvorgang zu installieren und zu aktualisieren. Beispiel:

Screenshot der Masseninstallation mehrerer Lösungsabhängigkeiten.

Nach der Installation einer Lösung erfordert jeder Inhaltstyp in der Lösung möglicherweise weitere Konfigurationsschritte. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.

Installieren und Aktualisieren von Inhalten per Massenvorgang

Der Inhaltshub unterstützt eine Listenansicht zusätzlich zur Standardkartenansicht. Wählen Sie die Listenansicht aus, um mehrere Lösungen und eigenständige Inhalte gleichzeitig zu installieren. Eigenständige Inhalte werden automatisch auf dem neuesten Stand gehalten. Aktive oder benutzerdefinierte Inhalte, die auf der Grundlage von über den Content Hub installierten Lösungen oder eigenständigen Inhalten erstellt wurden, bleiben unverändert.

  1. Wenn Sie Elemente per Massenvorgang installieren und/oder aktualisieren möchten, wechseln Sie zur Listenansicht.

  2. Suchen oder filtern Sie nach den Inhalten, die Sie per Massenvorgang installieren oder aktualisieren möchten.

  3. Aktivieren Sie die Kontrollkästchen aller Lösungen oder eigenständigen Inhalte, die Sie installieren oder aktualisieren möchten.

  4. Wählen Sie die Schaltfläche " Installieren/Aktualisieren " aus. Screenshot der Listenansicht von Lösungen mit mehreren ausgewählten und zur Installation in Bearbeitung befindlichen Lösungen.

    Wenn eine ausgewählte Lösung oder ein eigenständiger Inhalt bereits installiert oder aktualisiert wurde, wird keine Aktion für dieses Element ausgeführt. Die Aktualisierung oder Installation der anderen Elemente bleibt davon unberührt.

  5. Wählen Sie "Verwalten" für jede installierte Lösung aus. Für Inhaltstypen innerhalb der Lösung müssen ggf. weitere Informationen konfiguriert werden. Weitere Informationen finden Sie unter Aktivieren von Inhaltselementen in einer Lösung.

Aktivieren von Inhaltselementen in einer Lösung

Verwalten Sie Inhaltselemente für installierte Lösungen zentral über den Inhaltshub.

  1. Wählen Sie im Inhaltshub eine installierte Lösung der Version 2.0.0 oder höher aus.

  2. Wählen Sie auf der Seite "Lösungsdetails" die Option "Verwalten" aus.

    Screenshot der Schaltfläche

  3. Überprüfen Sie die Liste der Inhaltselemente.

    Screenshot der Lösungsbeschreibung und Liste der Inhaltselemente für azure Activity-Lösung.

  4. Wählen Sie ein Inhaltselement aus, um zu beginnen.

Verwalten der einzelnen Inhaltstypen

In den folgenden Abschnitten finden Sie einige Tipps zur Verwendung der verschiedenen Inhaltstypen im Rahmen der Verwaltung einer Lösung.

Datenconnector

Führen Sie zum Verbinden eines Datenconnectors die Konfigurationsschritte aus.

  1. Wählen Sie Connectorseite öffnen aus.

  2. Führen Sie die Konfigurationsschritte für den Datenconnector aus.

    Screenshot des Inhaltselements des Datenkonnektors für Azure Activity-Lösung, bei dem der Status nicht verbunden ist.

    Nachdem Sie den Datenconnector konfiguriert haben und die Protokolle erfasst wurden, ändert sich der Status zu Verbunden.

Analyseregel

Erstellen Sie eine Regel auf der Grundlage einer Vorlage, oder bearbeiten Sie eine bereits vorhandene Regel.

  1. Zeigen Sie die Vorlage im Analysevorlagenkatalog an.

  2. Wenn die Vorlage noch nicht verwendet wird, wählen Sie "Regel erstellen"> aus, und führen Sie die Schritte aus, um die Analyseregel zu aktivieren.

    Nachdem Sie eine Regel erstellt haben, wird die Anzahl der aktiven Regeln, die aus der Vorlage erstellt wurden, in der Spalte "Erstellter Inhalt " angezeigt.

  3. Wählen Sie den Link für die aktiven Regeln aus, um die vorhandene Regel zu bearbeiten. Der aktive Regellink in der folgenden Abbildung befindet sich z. B. unter "Inhalt erstellt " und zeigt 2 Elemente an.

    Screenshot des Inhaltsobjekts der Analyseregel in der Azure-Aktivitätslösung.

Hunting-Abfrage

Führen Sie die bereitgestellte Hunting-Abfrage aus, oder passen Sie sie an.

  1. Um sofort mit der Suche zu beginnen, wählen Sie " Abfrage ausführen" auf der Detailseite aus, um schnelle Ergebnisse zu erhalten.

    Screenshot des geklonten Jagdabfrage-Inhaltselements in der Lösung für Azure Activity.

  2. Um Ihre Sucheingabe anzupassen, wählen Sie den Link in der Spalte "Inhaltsname" aus.

    Im Hunting-Katalog können Sie über das Menü mit den Auslassungspunkten einen Klon der schreibgeschützten Hunting-Abfragevorlage erstellen. Suchabfragen, die auf diese Weise erstellt wurden, werden als Elemente in der Spalte " Erstellter Inhalt " des Inhaltshubs angezeigt.

Arbeitsmappe

Erstellen Sie zum Anpassen einer Arbeitsmappe, die auf der Grundlage einer Vorlage erstellt wurde, eine Instanz einer Arbeitsmappe.

  1. Wählen Sie die Vorlage "Ansicht" aus, um die Arbeitsmappe zu öffnen und die Visualisierungen anzuzeigen.

  2. Wählen Sie "Speichern" aus, um eine Instanz der Arbeitsmappenvorlage zu erstellen.

  3. Zeigen Sie Ihre gespeicherte anpassbare Arbeitsmappe an, indem Sie "Gespeicherte Arbeitsmappe anzeigen" auswählen.

  4. Wählen Sie im Inhaltshub den Link "1 Element " in der Spalte "Erstellter Inhalt " aus, um die Arbeitsmappe zu verwalten.

    Screenshot des gespeicherten Arbeitsmappenelements in der Lösung für Azure Activity.

Parser

Bei der Installation einer Lösung werden alle darin enthaltenen Parser als Arbeitsbereichsfunktionen in Log Analytics hinzugefügt.

  1. Wählen Sie den Funktionscode laden aus, um Log Analytics zu öffnen und den Funktionscode anzuzeigen oder auszuführen.

  2. Wählen Sie "Im Editor verwenden " aus, um Log Analytics mit dem Parsernamen zu öffnen, der zur benutzerdefinierten Abfrage hinzugefügt werden kann.

    Screenshot des Parserinhaltstyps in einer Lösung.

Playbook

Erstellen Sie ein Playbook auf der Grundlage einer Vorlage.

  1. Wählen Sie den unter Inhaltsname bereitgestellten Link des Playbooks aus.

  2. Wählen Sie die Vorlage und dann "Playbook erstellen" aus.

  3. Nachdem das Playbook erstellt wurde, wird das aktive Playbook in der Spalte "Erstellter Inhalt " angezeigt.

  4. Wählen Sie den Link 1 Element des aktiven Playbooks aus, um das Playbook zu verwalten.

    Screenshot des Inhaltstyps „Playbook“ in einer Lösung.

Ermitteln des Supportmodells für Ihren Inhalt

Jedes Lösungs- und eigenständige Inhaltselement erläutert sein Supportmodell im Detailbereich im Feld "Support ", in dem entweder Microsoft oder der Name eines Partners aufgeführt ist. Beispiel:

Screenshot, in dem Sie Ihr Supportmodell für Ihre Lösung finden können.

Wenn Sie sich an den Support wenden, benötigen Sie möglicherweise weitere Details zu Ihrer Lösung, z. B. Werte für Herausgeber, Anbieter und Plan-ID. Suchen Sie diese Informationen auf der Detailseite auf der Registerkarte "Nutzungsinformationen und Support ".

Screenshot der Nutzungs- und Supportdetails für eine Lösung.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie integrierte Lösungen und eigenständige Inhalte für Microsoft Sentinel finden und bereitstellen.

Viele Lösungen umfassen Datenconnectors, die Sie konfigurieren müssen, damit Sie Ihre Daten in Microsoft Sentinel erfassen können. Für jeden Datenconnector gelten eigene Anforderungen, die auf der Datenconnectorseite in Microsoft Sentinel ausführlich beschrieben werden.

Weitere Informationen finden Sie unter Verbinden Ihrer Datenquelle.