Modifications apportés à la centralisation du contenu prêt à l’emploi de Microsoft Sentinel

  • Article

Le hub de contenu Microsoft Sentinel permet de découvrir, puis d’installer à la demande du contenu et des solutions prêts à l’emploi (OOTB) en une seule étape. Auparavant, une partie de ce contenu prêt à l’emploi existait uniquement dans différentes sections de la galerie de Microsoft Sentinel. Maintenant, tous les modèles de contenu de galerie suivants sont disponibles dans le hub de contenu en tant qu’éléments autonomes ou faisant partie de solutions empaquetées :

  • Connecteurs de données
  • Modèles de règles d’analyse
  • Requêtes de chasse
  • Modèles de playbook
  • Modèles de classeur

Modifications du hub de contenu

Pour centraliser tout le contenu prêt à l’emploi, nous avons mis hors service les modèles de contenu de la galerie. Les anciens modèles de contenu de la galerie ne sont plus mis à jour de manière cohérente et le hub de contenu est l’endroit où le contenu prêt à l’emploi reste à jour. Le hub de contenu fournit également des flux de travail de mise à jour pour les solutions et des mises à jour automatiques pour le contenu autonome.

Pour faciliter cette transition, nous publions un outil central permettant de rétablir les modèles hors service IN USE depuis les solutions de hub de contenu correspondantes.

Rétablir les modèles IN USE mis hors service avec l’outil central

Maintenant que les modifications de centralisation du hub de contenu sont terminées, voici une vue d’ensemble de la procédure de rétablissement de l’outil central.

  1. Sélectionnez le lien dans la bannière d’avertissement pour rétablir IN USE pour les modèles de contenu de la galerie uniquement mis hors service.

    Cette capture d’écran montre un exemple de bannière d’avertissement trouvée dans la galerie Classeurs. Screenshot showing orange warning banner with link to initiate central tool.

  2. Sélectionnez le lien et lisez attentivement la page.

  3. Sélectionnez Continuer et passez en revue la liste du contenu généré par l’outil.

    Screenshot shows central tool page including details on how to use it.

  4. Sélectionnez Terminer la centralisation pour démarrer l’installation. La sélection est fixe et ne peut pas être modifié.

    Screenshot shows the list of content the tool generates.

Modification de la page du connecteur de données

Tous les connecteurs de données font désormais partie d’une solution. Auparavant, pour promouvoir les visualisations de tableau de bord (désormais appelées classeurs) et fournir des exemples de requêtes KQL, nous avons inclus quelques-uns de ces éléments dans un onglet Étapes suivantes de la page du connecteur de données. Nous avons déprécié la partie Étapes suivantes de la page du connecteur de données en faveur du nouveau comportement de contenu de la solution où tous les composants de la solution sont gérés en même temps que le connecteur de données.

La clé de l’expérience du comportement mis à jour consiste à démarrer dans le hub de contenu. Pour une comparaison du comportement précédent avec la nouvelle expérience, examinez le connecteur de données d’activité Azure. Après avoir installé la solution à partir du hub de contenu et sélectionné Gérer, l’ensemble de la solution est disponible pour inspection. Si vous souhaitez une visualisation du connecteur de données d’activité Azure, affichez le modèle du classeur. Si vous souhaitez afficher les requêtes KQL, commencez par la table de données. Pour les requêtes avancées, examinez les règles d’analyse et les requêtes de chasse.

Pour plus d’informations sur le nouveau comportement du contenu de la solution, consultez Découvrir et déployer du contenu OOTB.

S’il existe un exemple de requête particulier pour un connecteur de données tiers que vous recherchez, nous les publions toujours dans notre index Tous les connecteurs. Par exemple, voici les exemples de requêtes pour le connecteur Jamf Protect.

Modifications GitHub de Microsoft Sentinel

Microsoft Sentinel dispose d’un référentiel GitHub officiel pour les contributions de la communauté approuvées par Microsoft et la communauté. Il s’agit de la source de la plupart des éléments de contenu du hub de contenu.

Pour une découverte cohérente de ce contenu, les modifications de centralisation de contenu du prêt à l’emploi ont déjà été étendues au référentiel GitHub de Microsoft Sentinel :

  • Tout le contenu prêt à l'emploi provenant des solutions de hub de contenu est maintenant stocké dans le dossier Solutions du référentiel GitHub.
  • Tous les éléments de contenu prêts à l’emploi autonomes resteront dans leurs emplacements respectifs.

Ces modifications apportées au hub de contenu et au référentiel GitHub de Microsoft Sentinel vont compléter le parcours vers la centralisation du contenu Microsoft Sentinel.

Quand ce changement interviendra-t-il ?

Les modifications de la centralisation ont été publiées ! Les modifications de Microsoft Sentinel GitHub ont déjà eu lieu. Le contenu autonome est disponible dans les dossiers GitHub existants et le contenu des solutions a été déplacé vers le dossier Solutions.

La modification de l’onglet Étapes suivantes a déjà été effectuée.

Étendue du changement

Cette modification est limitée au seul type de modèles contenu de la galerie . Tous ces mêmes modèles et un autre contenu prêt à l'emploi sont disponibles dans le hub de contenu en tant que solutions ou contenu autonome.

Pour le référentiel GitHub de Microsoft Sentinel, le contenu prêt à l’emploi empaqueté dans des solutions dans le hub de contenu est maintenant répertorié uniquement dans le dossier Solutions du référentiel GitHub. L’autre contenu GitHub existant est limité aux dossiers suivants et contient uniquement des éléments de contenu autonomes. Le contenu des dossiers GitHub restants ne figurant pas dans cette liste n’a pas été modifié.

Ce qui ne change pas

Cette modification n’affecte pas les éléments actifs ou personnalisés (créés depuis des modèles ou autrement). Plus précisément, cette modification n’affecte pas les éléments suivants :

  • Connecteurs de données avec État = Connecté.
  • Règles d’alerte ou détections (activées ou désactivées) dans l’onglet Règles actives de la galerie d’analyse.
  • Classeurs enregistrés dans l’onglet Mes classeurs de la galerie de classeurs.
  • Contenu cloné ou Source de contenu = Personnalisé de la galerie de chasse.
  • Guides opérationnels actifs (activés ou désactivés) dans l’onglet Guides opérationnels actifs de la galerie Automation.

Cette modification n’affecte pas non plus les modèles de contenu prêt à l'emploi installés depuis le hub de contenu (identifiables comme Source de contenu = Hub de contenu).

Ce qui a changé

Toutes les galeries de modèles affichent désormais une bannière d’avertissement dans le produit. Cette bannière contient un lien vers un outil qui s’exécutera dans le portail Microsoft Sentinel. L’activation de l’outil démarre une expérience guidée pour rétablir les modèles de contenu pour les modèles mis hors service IN USE depuis le hub de contenu.

Cet outil doit s’ exécuter une seule fois par espace de travail. Veillez donc à planifier avec votre organisation. Une fois l’outil exécuté avec succès, la bannière d’avertissement disparaîtra des galeries de modèles de cet espace de travail.

Le tableau suivant répertorie les impacts spécifiques sur les modèles de contenu pour chacune de ces galeries. Attendez-vous à ces modifications maintenant que la centralisation du contenu du prêt à l’emploi est mise en service.

Type de contenu Impact
Connecteurs de données Les modèles identifiables comme Source de contenu = Contenu de la galerie et État = Non connecté n’apparaîtront plus dans la galerie de connecteurs de données.
Analyse Les modèles identifiables comme Nom de source = Contenu de la galerie n’apparaîtront plus dans la galerie d’analyse.
Chasse Les modèles avecSource de contenu = Contenu de la galerie n’apparaîtront plus dans la galerie de chasse.
Playbooks Les modèles identifiables comme Nom de source = Contenu de la galerie n’apparaîtront plus dans la galerie des guides opérationnels d’automatisation.
Classeurs Les modèles avecSource de contenu = Contenu de la galerie n’apparaîtront plus dans la galerie des guides opérationnels.

Voici un exemple de règle d’analyse avant et après les modifications de la centralisation et l’exécution de l’outil :

  • La règle d’analyse active ne changera pas du tout. Elle est basée sur un modèle de règle d’analyse qui sera mis hors service.

    Screenshot that shows an active analytics rule before centralization changes.

    Cette capture d’écran montre un modèle de règle d’analyse qui sera mis hors service.

    Screenshot that shows the analytics rule template that will be retired.

  • Une fois que vous avez exécuté l’outil pour rétablir le modèle de règle d’analyse, la source devient la solution depuis laquelle le modèle a été rétabli.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

Action requise

  • Installez le nouveau contenu prêt à l'emploi depuis le hub de contenu, puis mettez à jour les solutions si nécessaire pour disposer de la dernière version des modèles.
  • Pour les modèles de contenu de galerie existants en cours d’utilisation, obtenez les futures mises à jour en installant les solutions ou les éléments de contenu autonomes depuis le hub de contenu. Le contenu de la galerie dans les galeries de fonctionnalités peut est sans doute obsolète.
  • Si vous avez des applications ou des processus qui obtiennent directement du contenu prêt à l’emploi depuis le référentiel GitHub de Microsoft Sentinel, mettez à jour les emplacements pour inclure l’obtention de contenu prêt à l’emploi depuis le dossier Solutions en plus des dossiers de contenu existants.
  • Planifiez avec votre organisation qui exécutera l’outil et quand, maintenant que la bannière d’avertissement et les modifications sont actives. L’outil doit s’exécuter une fois dans un espace de travail pour rétablir tous les modèles mis hors service IN USE depuis le hub de contenu.
  • Veuillez consulter les FAQ ci-après pour obtenir des détails susceptibles de s’appliquer à votre environnement.

FAQ sur la centralisation du contenu

Cette modification affectera-t-elle la génération d’alertes du centre des opérations de sécurité (SOC) ou la génération et la gestion des incidents ?

Non. Il n’y a aucun impact sur les règles d’alerte ou les détections actives, les guides opérationnels actifs, les requêtes de chasse clonées ou les classeurs enregistrés. La modification de la centralisation du contenu prêt à l’emploi n’affectera pas vos processus actuels de génération et de gestion des incidents.

Existe-t-il des exceptions pour le contenu de la galerie ?

Oui. Les types de modèles de règle d’analyse suivants sont exemptés de cette modification :

  • Modèles de règle d’Anomalies
  • Modèles de règle de Fusion
  • Modèles de règle d’analyse du comportement ML (Machine Learning) Behavior Analytics
  • Modèles de règles de sécurité Microsoft (création d’incidents)
  • Modèles de règle de veille des menaces

Cette modification affectera-t-elle l’une des API ?

Oui. Actuellement, les seuls appels de l’API REST Microsoft Sentinel qui existent pour la gestion des modèles de contenu sont les opérations Get et List pour les modèles de règle d’alerte. Ces opérations ne concernent que les modèles de contenu de la galerie et ne seront pas mises à jour. Si vous souhaitez en savoir plus sur ces opérations, veuillez consulter la référence actuelle de l’API REST des modèles de règle d’alerte.

De nouvelles opérations de l’API REST sur le hub de contenu seront bientôt disponibles pour permettre des scénarios de gestion de contenu prêts à l’emploi à plus grande échelle. Cette mise à jour de l’API inclura des opérations pour les mêmes types de contenu délimités dans les modifications de centralisation (connecteurs de données, modèles de guide opérationnel, modèles de classeur, modèles de règle d’analyse, requêtes de chasse). Un mécanisme de mise à jour des modèles de règle d’analyse installés sur l’espace de travail figure également sur la feuille de route.

Action nécessaire : prévoyez de mettre à jour vos applications et processus pour utiliser les nouvelles opérations de l’API de gestion de contenu prêt à l’emploi sur le hub de contenu lorsque celles-ci seront disponibles. À l’origine, nous avions indiqué que ce serait disponible au 2e trimestre 2023, mais ils ne sont pas encore prêts.

Comment l’outil central identifiera-t-il mes modèles de contenu prêt à l’emploi en cours d’utilisation ?

L’outil génère une liste de solutions basées sur deux critères : les connecteurs de données avec État = Connecté et les modèles de guide opérationnel IN USE. Après avoir généré la liste des solutions proposées, l’outil présente la liste pour approbation. Si la liste est approuvée, l’outil installe toutes ces solutions. Étant donné que le contenu prêt à l’emploi est rétabli en fonction des solutions, vous obtiendrez sans doute plus de modèles que vous n’en utilisez réellement.

Cet outil central est le meilleur moyen de rétablir vos modèles de contenu prêt à l’emploi IN USE depuis le hub de contenu. Vous pouvez installer le contenu prêt à l’emploi omis directement depuis le hub de contenu.

Que se passe-t-il si j’utilise des API pour connecter des sources de données dans mon espace de travail Microsoft Sentinel ?

Actuellement, si une connexion de données d’API correspond au type de données du connecteur de données, elle apparaîtra comme État = Connecté dans la galerie de connecteurs de données. Une fois les modifications de centralisation mises en service, le connecteur de données spécifique doit être installé à partir d’une solution respective pour obtenir le même comportement.

Action nécessaire : Prévoyez de mettre à jour les processus ou les outils pour vos déploiements de connecteurs de données pour les installer depuis des solutions de hub de contenu avant la connexion avec les API d’ingestion de données. L’opérateur d’API REST pour l’installation d’une solution sera disponible au deuxième trimestre 2023 avec les API de gestion de contenu prêt à l’emploi.

Que se passe-t-il si je travaille avec du contenu à l’aide de la fonctionnalité des référentiels dans Microsoft Sentinel ?

Les référentiels déploient spécifiquement du contenu personnalisé ou actif dans Microsoft Sentinel. Les modifications de centralisation de contenu prêt à l’emploi n’affecteront pas le contenu déployé via la fonctionnalité des référentiels.

Cela affecte-t-il les groupes de déploiement dans le gestionnaire d’espace de travail ?

Tout comme les référentiels, le gestionnaire d’espace de travail déploie uniquement du contenu personnalisé ou actif, de sorte que les modifications de centralisation de contenu OOTB n’affecteront pas non plus le contenu déployé via le gestionnaire d’espace de travail.

Étapes suivantes

Jetez un coup d’œil sur ces autres ressources pour le contenu prêt à l’emploi et le hub de contenu :