Introducción
El contenido de Azure Sentinel es contenido de tipo Administración de eventos e información de seguridad (SIEM) que permite a los clientes ingerir datos, supervisar, enviar alertas, buscar, investigar, responder y conectarse con diferentes productos, plataformas y servicios en Microsoft Sentinel.
El contenido de Microsoft Sentinel incluye cualquiera de los siguientes tipos:
- Los conectores de datos proporcionan la ingesta de registros de diferentes orígenes en Microsoft Sentinel.
- Los analizadores proporcionan el formato o la transformación de registros en formato ASIM, lo que permite el uso en varios tipos de contenido y escenarios de Microsoft Sentinel.
- Los libros proporcionan supervisión, visualización e interactividad con los datos en Microsoft Sentinel, destacando información valiosa para los usuarios.
- Las reglas analíticas proporcionan alertas que apuntan a acciones de SOC pertinentes a través de incidentes.
- Los equipos de SOC utilizan consultas de búsqueda para buscar amenazas de manera proactiva en Microsoft Sentinel.
- Los Cuadernos ayudan a los equipos de SOC a utilizar características de búsqueda avanzadas en Jupyter y Azure Notebooks.
- Las listas de seguimiento admiten la ingesta de datos específicos para mejorar la detección de amenazas y reducir la fatiga de las alertas.
- Los conectores personalizados de cuadernos de estrategias y de Azure Logic Apps proporcionan características para realizar investigaciones automatizadas, correcciones y escenarios de respuesta en Microsoft Sentinel.
Para mantener el contenido para el uso de Microsoft Sentinel:
- Centro de contenido: las soluciones de Microsoft Sentinel son paquetes de contenido de Microsoft Sentinel o integraciones de API de Microsoft Sentinel que cumplen los requisitos de un escenario vertical completo del sector, dominio o producto en Microsoft Sentinel.
- Repositorios: los repositorios de Microsoft Sentinel ayudan a automatizar la implementación y administración del contenido de Microsoft Sentinel mediante repositorios centrales.
- Comunidad: incorpore contenido de la comunidad a petición para habilitar los escenarios. El repositorio de GitHub en https://github.com/Azure/Azure-Sentinel incluye contenido de Microsoft y de la comunidad que se prueba y está disponible para implementarse en el área de trabajo de Sentinel.
Usted es un analista de operaciones de seguridad que trabaja en una empresa que ha implementado Microsoft Sentinel. Necesita instalar conectores y reglas analíticas de un proveedor. Además, ha creado una biblioteca de consultas de búsqueda que deben mantenerse en varios entornos.
Al final de este módulo, podrá administrar el contenido en Microsoft Sentinel.
Después de completar este módulo, podrá:
- Instalación de una solución de centro de contenido en Microsoft Sentinel
- Conectar un repositorio de GitHub a Microsoft Sentinel