Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel Sisältökeskus on keskitetty sijaintisi, jonka avulla voit etsiä ja hallita valmista (sisäistä) sisältöä. Sieltä löydät kokonaisratkaisuja päästä päähän -tuotteisiin toimialueen tai alan mukaan. Voit käyttää github-säilössämme ja ominaisuusterässämme isännöityjen erillisten osallistumisten valtavaa määrää.

  • Etsi ratkaisuja ja itsenäistä sisältöä yhdenmukaisin suodatusominaisuuksilla tilan, sisältötyypin, tuen, palveluntarjoajan ja luokan perusteella.

  • Asenna työtilan sisältö kerralla tai erikseen.

  • Tarkastele sisältöä luettelonäkymässä ja katso nopeasti, mitkä ratkaisut sisältävät päivityksiä. Päivitä ratkaisut kaikki kerralla, kun erillinen sisältö päivittyy automaattisesti.

  • Hallitse ratkaisua sen sisältötyyppien asentamiseksi ja uusimpien muutosten saamiseksi.

  • Määritä erillinen sisältö uusien aktiivisten kohteiden luomiseksi uusimman mallin perusteella.

Jos olet kumppani, joka haluaa luoda oman ratkaisusi, tutustu Microsoft Sentinel Ratkaisujen muodostamisopas ratkaisujen luomiseen ja julkaisemiseen.

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Ennakkovaatimukset

Jotta voit asentaa, päivittää ja poistaa erillisiä sisältöjä tai ratkaisuja sisältökeskuksessa, tarvitset Microsoft Sentinel Osallistuja-roolin resurssiryhmätasolla.

Lisätietoja muista Microsoft Sentinel tuetuista rooleista ja käyttöoikeuksista on artikkelissa Microsoft Sentinel käyttöoikeudet.

Sisällön löytäminen

Sisältökeskus tarjoaa parhaan tavan löytää uutta sisältöä tai hallita jo asennettuja ratkaisuja.

  1. Jos haluat Microsoft Sentinel Defender-portaalissa, valitse Microsoft Sentinel>Sisältökeskus>. Jos haluat Microsoft Sentinel Azure-portaalisisällönhallinnassa, valitse Sisältökeskus.

    Sisältökeskus-sivulla näkyy haettava ruudukko tai luettelo ratkaisuista ja erillisestä sisällöstä.

  2. Etsi ratkaisuja tai erillisiä sisältökohteita, joita tarvitset. Valitse tietyt arvot suodattimista tai kirjoita hakusana Haku-ruutuun . Haut tukevat sumeaa hakua ja sanaston likimääräistä arviointia tekoälyn avulla.

    Kun etsit, paina ENTER aloittaaksesi haun. Hakutulosten määrä on rajoitettu 50 kohteeseen, mukaan lukien ratkaisuista löytyvien ratkaisujen ja sisältökohteiden määrä. Jos et löydä etsimääsi, kokeile tarkentaa hakulauseketta tai käytä eri suodattimia.

    Lisätietoja on kohdassa Microsoft Sentinel käyttövalmiin sisällön ja ratkaisujen luokat.

  3. Valitse luettelonäkymässä ( ) ratkaisu luettelosta, jotta voit tarkastella ratkaisun tietoja sekä sen sisällyttämien sisältökohteiden tyyppejä.

    Laajenna ratkaisu haku- tai suodatustuloksissa, jotta voit tarkastella sisällyttämieni sisältökohteiden luetteloa. Reunassa oleva tietoruutu näyttää yksityiskohtaisia tietoja sisältökohteesta.

    Vaihtoehtoisesti voit tarkastella ruudukossa esitettyjä ratkaisuja valitsemalla korttinäkymän ( ). Jokainen kortti näyttää ratkaisun nimen, kuvauksen ja luokat. Valitse kortti, jos haluat tarkastella lisätietoja ratkaisusta sivussa.

Jos haluat käyttää sisältökohdetta, joka on osa ratkaisua, sinun on asennettava koko ratkaisu. Jos olet valinnut tietyn sisältökohteen luettelonäkymässä, asenna asianmukainen ratkaisu valitsemalla Asenna ratkaisu -vaihtoehto reunan Tiedot-ruudussa.

Lisätietoja on kohdassa Microsoft Sentinel käyttövalmiin sisällön ja ratkaisujen luokat.

Sisällön asentaminen tai päivittäminen

Asenna erillinen sisältö ja ratkaisut joukkona yksittäin tai kaikki yhdessä. Lisätietoja joukkotoiminnoista on seuraavassa osiossa kohdassa Sisällön joukkoasentaminen ja päivittäminen .

Jos käyttöön otetulla ratkaisulla on päivityksiä sen edellisen käyttöönoton jälkeen, luettelonäkymässä näkyy Päivitä tilasarakkeessa. Ratkaisu sisältyy myös Päivitykset-määrään sivun yläreunassa.

Tässä on esimerkki yksittäisen ratkaisun asentamisesta.

  1. Etsi ja valitse ratkaisu Sisältökeskuksesta.

  2. Valitse ratkaisujen tietoruudun oikeasta alakulmasta Näytä tiedot.

  3. Valitse Luo tai Päivitä.

  4. Ota ratkaisu käyttöön kirjoittamalla Perustiedot-välilehdessä tilaus, resurssiryhmä ja työtila. Esimerkki:

    Näyttökuva ratkaisun ohjatusta asennuksesta, jossa näkyy Perustiedot-välilehti.

  5. Valitse Seuraava , jos haluat käydä läpi jäljellä olevat välilehdet ja joissain tapauksissa määrittää kunkin sisältökomponentin.

    Välilehdet vastaavat ratkaisun tarjoamaa sisältöä. Eri ratkaisuilla voi olla erityyppisiä sisältöjä, joten et välttämättä näe samoja välilehtiä jokaisessa ratkaisussa.

    Sinua saatetaan myös pyytää antamaan tunnistetiedot toiseen kuin Microsoft-palveluun, jotta Microsoft Sentinel voi todentaa järjestelmääsi. Esimerkiksi pelikirjojen avulla voit halutessasi ryhtyä reagointitoimintoihin järjestelmän ohjeiden mukaisesti.

  6. Odota sanomaa Tarkista + luo -välilehdessä Validation Passed .

  7. Ota ratkaisu käyttöön valitsemalla Luo tai Päivitä . Voit myös ottaa ratkaisun käyttöön koodina valitsemalla Lataa automatisoinnin malli - linkin.

Asenna riippuvuuksien kanssa

Joillakin ratkaisuilla on riippuvuussuhteita asentamiseen, mukaan lukien useita toimialueratkaisuja ja ratkaisuja, jotka käyttävät yhtenäisiä AMA-liittimiä CEF-, Syslog- tai mukautettuja lokeja varten.

Valitse tällaisissa tapauksissa Asenna riippuvuuksin varmistaaksesi, että myös tarvittavat tietoliittimet on asennettu. Valitse sieltä yksi tai useampi riippuvuussuhde niiden asentamiseksi alkuperäisen ratkaisun ohella. Alkuperäinen ratkaisu, jonka valitsit asennettavaksi, on aina valittuna oletusarvoisesti.

Jos vähintään yksi riippuvuusratkaisu on jo asennettu, mutta siinä on päivityksiä, asenna ja päivitä kaikki valitut ratkaisut joukkona Asenna/päivitä-painikkeella . Esimerkki:

Näyttökuva useiden ratkaisujen riippuvuuksien asentamisesta joukkona.

Kun olet asentanut ratkaisun, kunkin ratkaisun sisältötyypin määrittäminen saattaa edellyttää lisätoimia. Lisätietoja on artikkelissa Sisällön kohteiden ottaminen käyttöön ratkaisussa.

Sisällön joukkoasentaminen ja päivittäminen

Sisältökeskus tukee luettelonäkymää kortin oletusnäkymän lisäksi. Valitse luettelonäkymä, jos haluat asentaa useita ratkaisuja ja erillisiä sisältöjä kerralla. Erillinen sisältö pidetään automaattisesti ajan tasalla. Kaikki aktiivinen tai mukautettu sisältö, joka on luotu sisältökeskuksesta asennettujen ratkaisujen tai erillisen sisällön perusteella, pysyy koskemattomana.

  1. Jos haluat asentaa tai päivittää kohteita joukkona, siirry luettelonäkymään.

  2. Etsi tai suodata, jotta löydät sisällön, jonka haluat asentaa tai päivittää joukkona.

  3. Valitse jokaisen asennettavan tai päivitettävän erillisen sisällön valintaruutu.

  4. Valitse Asenna/Päivitä-painike . Näyttökuva ratkaisujen luettelonäkymästä, jossa on valittuna useita ratkaisuja ja jotka ovat käynnissä asentamista varten.

    Jos valitsemasi ratkaisu tai itsenäinen sisältö oli jo asennettu tai päivitetty, kyseiselle kohteelle ei tehdä mitään toimia. Se ei häiritse muiden kohteiden päivittämistä ja asentamista.

  5. Valitse Hallitse kullekin asentamalle ratkaisulle. Ratkaisun sisältötyypit saattavat vaatia lisätietoja, jotta voit määrittää ne. Lisätietoja on artikkelissa Sisällön kohteiden ottaminen käyttöön ratkaisussa.

Pakettien ja mallien asentaminen ohjelmointirajapinnan avulla

Jos käytät ohjelmointirajapintaa ratkaisupakettien tai yksittäisten mallien asentamiseen, toimi seuraavasti:

  1. Hae ratkaisupaketti tai malli:

  2. Etsi properties.mainTemplate -kenttä ohjelmointirajapintavastauksesta. Tässä kentässä on ARM-mallin JSON, joka määrittää ratkaisun tai malliresurssit.

  3. Ota poimitut mainTemplate käyttöön ARM-mallikäyttöönotolla joko Rest API:n, Azure CLI:n tai PowerShellin kautta.

Ratkaisun sisältökohteiden ottaminen käyttöön

Hallitse keskitetysti sisältökeskuksesta asennettujen ratkaisujen sisältökohteita.

  1. Valitse sisältökeskuksessa asennettu ratkaisu, jossa versio on vähintään 2.0.0.

  2. Valitse ratkaisujen tietosivulla Hallinta.

    Näyttökuva hallintapainikkeesta Azure Toiminnan sisältökeskus -ratkaisun tietosivulla.

  3. Tarkista sisältökohteiden luettelo.

    Näyttökuva ratkaisun kuvauksesta ja Azure toimintoratkaisun sisältökohteiden luettelosta.

  4. Aloita valitsemalla sisältökohde.

Kunkin sisältötyypin hallinta

Seuraavissa osioissa on vinkkejä siitä, miten voit käsitellä eri sisältötyyppejä ratkaisua hallitessasi.

Tietoyhdistin

Voit yhdistää tietoliittimen suorittamalla määritysvaiheet.

  1. Valitse Avaa liitinsivu.

  2. Suorita tietoyhdistimen määritysvaiheet.

    Näyttökuva tietoyhdistimen sisältökohteesta Azure toimintoratkaisulle, jonka tilan yhteys on katkaistu.

    Kun olet määrittänyt tietoliittimen ja lokit tunnistetaan, tilaksi muuttuu Yhdistetty.

Analytiikkasääntö

Luo sääntö mallista tai muokkaa aiemmin luotua sääntöä.

  1. Tarkastele mallia analytiikkamallien valikoimassa.

  2. Jos mallia ei vielä käytetä, valitse Avaa>luo sääntö ja ota analytiikkasääntö käyttöön noudattamalla ohjeita.

    Kun olet luonut säännön, mallista luotujen aktiivisten sääntöjen määrä näkyy Luotu sisältö -sarakkeessa.

  3. Muokkaa aiemmin luotua sääntöä valitsemalla aktiiviset säännöt -linkki. Esimerkiksi seuraavan kuvan aktiivisen säännön linkki on Kohdassa Sisältö luotu ja näyttää kaksi kohdetta.

    Näyttökuva analyysisäännön sisältökohteesta ratkaisussa Azure toimintoa varten.

Metsästyskysely

Suorita annettu metsästyskysely tai mukauta sitä.

  1. Voit aloittaa haun heti valitsemalla Suorita kysely tietosivulta, jotta saat nopeita tuloksia.

    Näyttökuva kloonatun metsästyskyselyn sisältökohteesta ratkaisussa Azure toimintoa varten.

  2. Jos haluat mukauttaa metsästyskyselyä, valitse linkki Sisällön nimi - sarakkeesta.

    Metsästysvalikoimasta voit luoda kloonin vain luku -metsästyskyselymallista siirtymällä kolmen pisteen valikkoon. Tällä tavalla luodut metsästyskyselyt näytetään sisältökeskuksen Luotu sisältö -sarakkeen kohteina.

Työkirjan

Jos haluat mukauttaa mallista luotua työkirjaa, luo työkirjan esiintymä.

  1. Avaa työkirja ja tarkastele visualisointeja valitsemalla Näytä malli .

  2. Luo työkirjamallin esiintymä valitsemalla Tallenna .

  3. Tarkastele tallennettua mukautettavaa työkirjaa valitsemalla Näytä tallennettu työkirja.

  4. Valitse sisältökeskuksesta 1 kohde -linkki Luotu sisältö -sarakkeesta työkirjan hallitsemiseksi.

    Näyttökuva tallennetun työkirjan kohteesta ratkaisussa Azure toimintoa varten.

Parser

Kun ratkaisu asennetaan, kaikki mukaan otetut jäsentimet lisätään log analytics -työtilafunktioiksi.

  1. Valitse Lataa funktiokoodi avataksesi Log Analyticsin ja tarkastellaksesi tai suorittaaksesi funktiokoodin.

  2. Valitse Käytä editorissa , kun haluat avata Log Analytics -sovelluksen, jonka jäsentimen nimi on valmis lisättäväksi mukautettuun kyselyyn.

    Näyttökuva jäsentimen sisältötyypistä ratkaisussa.

Playbook

Luo pelikirja mallista.

  1. Valitse toistokirjan Sisällön nimi -linkki.

  2. Valitse malli ja valitse Luo pelikirja.

  3. Kun pelikirja on luotu, aktiivinen pelikirja näkyy Luotu sisältö -sarakkeessa.

  4. Voit hallita pelikirjaa valitsemalla aktiivisen playbook 1 item -linkin.

    Näyttökuva ratkaisun playbook-tyypin sisältötyypistä.

Sisällön tukimallin etsiminen

Jokainen ratkaisu ja erillinen sisältökohde selittää tukimallinsa tietoruudussa Tuki-ruudussa, jossa näkyy joko Microsoftin tai kumppanin nimi. Esimerkki:

Näyttökuva siitä, mistä löydät ratkaisusi tukimallin.

Kun otat yhteyttä tukeen, tarvitset ehkä muita tietoja ratkaisustasi, kuten julkaisijan, palveluntarjoajan ja suunnitelman tunnusarvot. Löydät nämä tiedot tietosivulta Käyttötiedot & tuki -välilehdessä.

Näyttökuva ratkaisun käyttö- ja tukitiedoista.

Seuraavat vaiheet

Tässä asiakirjassa opit etsimään ja ottamaan käyttöön sisäisiä ratkaisuja ja erillisiä sisältöjä Microsoft Sentinel.

Monet ratkaisut sisältävät tietoliittimiä, jotka sinun on määritettävä, jotta voit aloittaa tietojen käsittelyn Microsoft Sentinel. Jokaisella tietoyhdistimellä on omat vaatimuksensa, jotka on eritelty tietoyhdistinsivulla Microsoft Sentinel.

Lisätietoja on artikkelissa Tietolähteen yhdistäminen.

  • Last updated on