Compartir a través de

Cambios de centralización de contenido listo para usar de Microsoft Sentinel

El centro de contenido de Microsoft Sentinel habilita la detección y la instalación a petición de contenido y soluciones integradas (OOTB) en un solo paso. Anteriormente, algunos de este contenido de OOTB solo existían en varias secciones de la galería de Microsoft Sentinel. Ahora, todas las siguientes plantillas de contenido de la galería están disponibles en el centro de contenido como elementos independientes o como parte de las soluciones empaquetadas:

  • Conectores de datos
  • Plantillas de regla de Analytics
  • Consultas de búsqueda
  • Plantillas de cuadernos de estrategias
  • Plantillas de libro

Cambios en el centro de contenido

Para centralizar todo el contenido listo para usar, se han retirado las plantillas de contenido de solo galería. Las plantillas de contenido de la galería heredadas ya no se actualizan de forma coherente y el centro de contenido es donde el contenido de OOTB permanece actualizado. El centro de contenido también proporciona flujos de trabajo actualizados para soluciones y actualizaciones automáticas para contenido independiente.

Para facilitar esta transición, hemos publicado una herramienta central para restablecer las plantillas retiradas IN USE de las soluciones del centro de contenido correspondientes.

Restablecer plantillas retiradas de IN USE con la herramienta central

Ahora que se completan los cambios de centralización del centro de contenido, aquí se ofrece información general sobre cómo completar el proceso de restablecimiento de la herramienta central.

  1. Seleccione el vínculo en el banner de advertencia para restablecer las plantillas de contenido retiradas y solo de la galería EN USO.

    En esta captura de pantalla se muestra un ejemplo del banner de advertencia que se encuentra en la galería Workbooks. Captura de pantalla que muestra el banner de advertencia naranja con el vínculo para iniciar la herramienta central.

  2. Seleccione el vínculo y lea detenidamente la página.

  3. Seleccione Continuar y revise la lista de contenido que genera la herramienta.

    Captura de pantalla que muestra la página de herramientas central, incluidos los detalles sobre cómo usarlo.

  4. Seleccione Completar centralización para iniciar la instalación. La selección es fija y no se puede cambiar.

    Captura de pantalla que muestra la lista de contenido que genera la herramienta.

Cambio de página del conector de datos

Todos los conectores de datos forman parte de una solución. Anteriormente, para promover visualizaciones de cuadros de mando (ahora denominadas libros de trabajo) y proporcionar consultas KQL de ejemplo, incluimos algunos de estos elementos en una pestaña Pasos siguientes de la página del conector de datos. Hemos dejado de usar la parte Pasos siguientes de la página del conector de datos en favor del nuevo comportamiento de contenido de la solución en el que todos los componentes de la solución se administran junto con el conector de datos.

La clave para experimentar el comportamiento actualizado es iniciarse en el centro de contenido. Para una comparación del comportamiento anterior con la nueva experiencia, examine el conector de datos de actividad de Azure . Después de instalar la solución desde el centro de contenido y seleccionar Administrar, toda la solución está disponible para su inspección. Si desea una visualización del conector de datos de actividad de Azure, vea la plantilla del cuaderno de trabajo. Si desea ver consultas KQL, comience con la tabla de datos. Para consultas avanzadas, busque las reglas de análisis y las consultas de búsqueda.

Para obtener más información sobre el nuevo comportamiento de contenido de la solución, consulte Detección e implementación de contenido de OOTB.

Si está buscando una consulta de ejemplo determinada para un conector de datos de terceros, siguen estando publicadas en el índice de Todos los conectores. Por ejemplo, estas son las consultas de ejemplo para el conector Jamf Protect.

Cambios en GitHub de Microsoft Sentinel

Microsoft Sentinel tiene un repositorio oficial de GitHub para las contribuciones de la comunidad examinadas por Microsoft y la comunidad. Es el origen de la mayoría de los elementos de contenido del centro de contenido.

Para la detección coherente de este contenido, los cambios de centralización de contenido de OOTB ya se han ampliado al repositorio de GitHub de Microsoft Sentinel:

  • Ahora, todo el contenido de OOTB empaquetado desde soluciones del centro de contenido se almacena en la carpeta Soluciones del repositorio de GitHub.
  • Todos los elementos de contenido de OOTB independientes permanecerán en sus respectivas ubicaciones.

Estos cambios en el centro de contenido y en el repositorio de GitHub de Microsoft Sentinel completarán el recorrido hacia la centralización del contenido de Microsoft Sentinel.

¿Cuándo viene este cambio?

¡Se han publicado los cambios de centralización! Los cambios de GitHub de Microsoft Sentinel ya se han producido. El contenido independiente está disponible en carpetas de GitHub existentes y el contenido de la solución se ha movido a la carpeta Soluciones .

El cambio en la pestaña Pasos siguientes ya se ha completado.

Ámbito de cambio

Este cambio tiene como ámbito solo el tipo de contenido de la galería de plantillas. Todas estas mismas plantillas y más contenido de OOTB están disponibles en el centro de contenido como soluciones o contenido independiente.

Para el repositorio de GitHub de Microsoft Sentinel, el contenido de OOTB empaquetado en soluciones del centro de contenido ahora solo aparece en la carpeta Soluciones del repositorio de GitHub. El otro contenido de GitHub existente se limita a las siguientes carpetas y solo contiene elementos de contenido independientes. El contenido de las carpetas restantes de GitHub que no se mencionan en esta lista no tiene ningún cambio.

¿Qué no cambia?

Este cambio no afecta a los elementos activos o personalizados (creados a partir de plantillas o de otro modo). En concreto, este cambio no afecta a los siguientes elementos:

  • Conectores de datos con Estado = Conectado.
  • Reglas de alertas o detecciones (habilitadas o deshabilitadas) en la pestaña Reglas activas de la galería de análisis.
  • Libros guardados en la pestaña Mis libros de la galería de libros.
  • Contenido clonado o Origen de contenido = Personalizado en la galería de búsqueda.
  • Cuadernos de estrategias activos (habilitados o deshabilitados) en la pestaña Cuadernos de estrategias activos de la galería de automatización.

Este cambio tampoco afecta a ninguna plantilla de contenido de OOTB instalada desde el hub de contenido (identificable como Content source = Content hub).

¿Qué está cambiando?

Todas las galerías de plantillas ahora muestran un banner de advertencia dentro del producto. Este banner contiene un vínculo a una herramienta que se ejecutará en el portal de Microsoft Sentinel. La activación de la herramienta inicia una experiencia guiada para restablecer las plantillas de contenido de las plantillas retiradas IN USE del centro de contenido.

Esta herramienta solo debe ejecutarse una vez por área de trabajo, así que asegúrese de planear con su organización. Una vez que la herramienta se ejecute correctamente, el banner de advertencia desaparecerá de las galerías de plantillas de esa área de trabajo.

En la tabla siguiente se enumeran los impactos específicos de las plantillas de contenido para cada una de estas galerías. Espere estos cambios ahora que la centralización de contenido de OOTB esté activa.

Tipo de contenido Impacto
Conectores de datos Las plantillas identificables como Origen de contenido = y contenido de la Galería, y estado = No conectado ya no aparecerán en la galería de conectores de datos.
Análisis Las plantillas identificables como nombre de origen = contenido de la galería ya no aparecerán en la galería de análisis.
Búsqueda de ciberamenazas Las plantillas con Origen del contenido = Contenido de la galería no aparecerá en la galería de búsqueda.
Cuadernos de estrategias Las plantillas identificables como Nombre del origen = Contenido de la galería ya no aparecerá en la galería del cuaderno de estrategias de automatización.
Cuadernos de trabajo Las plantillas con Origen del contenido = Contenido de la galería no aparecerá en la galería del cuaderno de estrategias.

Este es un ejemplo de una regla de análisis antes y después de que cambie la centralización y la herramienta se haya ejecutado:

  • La regla de análisis activo no cambiará en absoluto. Se basa en una plantilla de reglas de análisis que será retirada.

    Captura de pantalla que muestra una regla de análisis activa antes de que cambie la centralización.

    En esta captura de pantalla se muestra una plantilla de regla de análisis que se retirará.

    Captura de pantalla que muestra la plantilla de regla de análisis que se retirará.

  • Después de ejecutar la herramienta para restablecer la plantilla de regla de análisis, el origen cambia a la solución desde la que se restableció.

    Recorte de pantalla que muestra la plantilla de regla de análisis después de restablecerse desde la solución Microsoft Entra del centro de contenido.

Acción necesaria

  • Instale el nuevo contenido de OOTB desde el centro de contenido y actualice las soluciones según sea necesario para tener las versiones más recientes de las plantillas.
  • Para las plantillas de contenido de la galería existentes en uso, obtenga actualizaciones futuras instalando las soluciones o elementos de contenido independientes desde el centro de contenido. El contenido de las galerías destacadas puede estar obsoleto.
  • Si tiene aplicaciones o procesos que obtienen directamente contenido de OOTB del repositorio de GitHub de Microsoft Sentinel, actualice las ubicaciones para incluir la obtención de contenido de OOTB de la carpeta Soluciones además de las carpetas de contenido existentes.
  • Planee con su organización quién ejecutará la herramienta y cuándo, ahora que el banner de advertencia y los cambios están activos. La herramienta debe ejecutarse una vez en un área de trabajo para restablecer todas las plantillas retiradas IN USE del centro de contenido.
  • Revise las preguntas más frecuentes siguientes para obtener más detalles que podrían aplicarse a su entorno.

Preguntas más frecuentes sobre la centralización de contenido

¿Este cambio afectará a la generación de alertas SOC o a la generación y administración de incidentes?

No. No hay impacto en las reglas o detecciones de alertas activas, cuadernos de estrategias activos, consultas de búsqueda clonadas o libros guardados. El cambio de centralización de contenido de OOTB no afectará a los procesos actuales de generación y administración de incidentes.

¿Hay alguna excepción para el contenido de la galería?

Sí. Los siguientes tipos de plantillas de regla de análisis están exentos de este cambio:

  • Plantillas de regla de anomalías
  • Plantillas de regla de Fusion
  • Plantillas de reglas de Análisis de comportamiento de ML (aprendizaje automático)
  • Plantillas de reglas para la creación de incidentes en Microsoft Security
  • Plantillas de reglas de inteligencia de amenazas

¿Este cambio afectará a cualquiera de las API?

Sí. Actualmente, las únicas llamadas a la API REST de Microsoft Sentinel disponibles para la administración de plantillas de contenido son las operaciones Get y List para las plantillas de regla de alertas. Estas operaciones solo exponen plantillas de contenido de la galería y no se actualizarán. Para obtener más información sobre estas operaciones, consulte la referencia actual de la API REST de plantillas de regla de alertas.

Las nuevas operaciones de API REST en el centro de contenido estarán disponibles pronto para habilitar escenarios de administración de contenido de OOTB de forma más amplia. Esta actualización de API incluirá operaciones para los mismos tipos de contenido definidos en los cambios de centralización (conectores de datos, plantillas de libro de jugadas, plantillas de libro de trabajo, plantillas de reglas de análisis, consultas de búsqueda). Un mecanismo para actualizar las plantillas de reglas de análisis instaladas en el área de trabajo también está en la hoja de ruta.

Acción necesaria: Planee actualizar las aplicaciones y los procesos para usar las nuevas operaciones de api de administración de contenido de OOTB en el centro de contenido cuando estén disponibles. Originalmente expresamos que esto estaría disponible Q2 2023, pero aún no están listos.

¿Cómo identificará la herramienta central mis plantillas de contenido de OOTB en uso?

La herramienta crea una lista de soluciones en función de dos criterios: conectores de datos con Estado = Conectado y plantillas de cuaderno de estrategias EN USO. Una vez que la herramienta compile la lista propuesta de soluciones, presentará la lista para su aprobación. Si se aprueba la lista, la herramienta instala todas esas soluciones. Debido a que el contenido de OOTB se restablece en función de las soluciones, es posible que obtengas más plantillas de las que realmente usas.

Esta herramienta central es un mejor esfuerzo para que sus plantillas de contenido OOTB EN USO se restablezcan desde el centro de contenido. Puedes instalar contenido OOTB omitido directamente desde el centro de contenido.

¿Qué ocurre si uso api para conectar orígenes de datos en mi área de trabajo de Microsoft Sentinel?

Actualmente, si una conexión de datos de API coincide con el tipo de datos del conector de datos, aparecerá como Estado = conectado en la galería de conectores de datos. Después de que los cambios de centralización se activen, es necesario instalar el conector de datos específico desde una solución correspondiente para obtener el mismo comportamiento.

Acción necesaria: Planee actualizar procesos o herramientas para las implementaciones del conector de datos para instalar desde soluciones del centro de contenido antes de conectarse con las API de ingesta de datos. El operador de API REST para instalar una solución estará disponible en Q2 2023 con las API de administración de contenido de OOTB.

¿Qué ocurre si trabajo con contenido mediante la característica de repositorios de Microsoft Sentinel?

Los repositorios implementan específicamente contenido personalizado o activo en Microsoft Sentinel. Los cambios de centralización de contenido de OOTB no afectarán al contenido implementado a través de la característica de repositorios.

¿Esto afecta a los grupos de implementación en el gestor de espacio de trabajo?

Al igual que los repositorios, el administrador de áreas de trabajo solo implementa contenido personalizado o activo, por lo que los cambios de centralización de contenido de OOTB tampoco afectarán al contenido implementado a través del administrador de áreas de trabajo.

Pasos siguientes

Eche un vistazo a estos otros recursos para el contenido de OOTB y el centro de contenido: