Megosztás a következőn keresztül:

A Microsoft Sentinel beépített tartalomközpontosítási változásai

  • Cikk

A Microsoft Sentinel tartalomközpont egyetlen lépésben teszi lehetővé a beépített (OOTB) tartalmak és megoldások felderítését és igény szerinti telepítését. Korábban az OOTB-tartalom egy része csak a Microsoft Sentinel különböző katalógusszakaszaiban létezett. A következő katalógusbeli tartalomsablonok mostantól különálló elemekként vagy csomagolt megoldások részeként érhetők el a tartalomközpontban:

  • Adatösszekötők
  • Elemzési szabálysablonok
  • Veszélyforrás-keresési lekérdezések
  • Forgatókönyvsablonok
  • Munkafüzetsablonok

A tartalomközpont változásai

Az OOTB-tartalmak központosításához kivontuk a csak katalógusból álló tartalomsablonokat. Az örökölt katalógus tartalomsablonjai már nem frissülnek következetesen, és az OOTB-tartalom a tartalomközpontban marad naprakész. A tartalomközpont emellett frissített munkafolyamatokat biztosít az önálló tartalmak megoldásához és automatikus frissítéséhez.

Az átállás megkönnyítése érdekében közzétettünk egy központi eszközt az IN U Standard kiadás a megfelelő tartalomközpont-megoldásokból kivont sablonok visszaállításához.

Az IN U Standard kiadás kivezetett sablonok visszaállítása a központi eszközzel

Most, hogy a tartalomközpont központosítási módosításai befejeződtek, íme egy áttekintés a központi eszköz visszaállításának folyamatáról.

  1. A figyelmeztető szalagcímen található hivatkozásra kattintva visszaállíthatja az U Standard kiadás kivezetett, csak katalógusban lévő tartalomsablonokat.

    Ez a képernyőkép a Munkafüzetek gyűjteményben található figyelmeztető szalagcímre mutat példát. Screenshot showing orange warning banner with link to initiate central tool.

  2. Jelölje ki a hivatkozást, és gondosan olvassa el a lapot.

  3. Válassza a Folytatás lehetőséget, és tekintse át az eszköz által létrehozott tartalom listáját.

    Screenshot shows central tool page including details on how to use it.

  4. A telepítés elindításához válassza a Teljes központosítás lehetőséget. A kijelölés ki lett javítva, és nem módosítható.

    Screenshot shows the list of content the tool generates.

Adatösszekötő oldalának módosítása

Mostantól minden adatösszekötő egy megoldás része. Korábban az irányítópult-vizualizációk (mai nevén munkafüzetek) előléptetéséhez és a KQL-mintalekérdezések biztosításához az adatösszekötő oldal Következő lépések lapján szerepelt néhány elem. Elavult az adatösszekötő oldal Következő lépések szakasza az új megoldástartalom-viselkedés mellett, ahol az összes megoldásösszetevőt az adatösszekötő mellett kezeli a rendszer.

A frissített viselkedés megtapasztalásának kulcsa a Content Hubban való kezdés. Az előző viselkedés és az új felület összehasonlításához vizsgálja meg az Azure Activity adatösszekötőt. Miután telepítette a megoldást a tartalomközpontból, és kiválasztotta a Kezelés lehetőséget, a teljes megoldás elérhető az ellenőrzéshez. Ha az Azure Activity-adatösszekötő vizualizációját szeretné megjeleníteni, tekintse meg a munkafüzet sablonját. Ha KQL-lekérdezéseket szeretne látni, kezdje az adattáblával. Speciális lekérdezések esetén tekintse meg az elemzési szabályokat és a keresési lekérdezéseket.

Az új megoldástartalom működésével kapcsolatos további információkért lásd : OOTB-tartalom felderítése és üzembe helyezése.

Ha egy külső adatösszekötőhöz adott minta lekérdezést keres, továbbra is közzétesszük őket a Minden összekötő indexben. Itt látható például a Jamf Protect-összekötőhöz tartozó minta lekérdezések.

A Microsoft Sentinel GitHub változásai

A Microsoft Sentinel hivatalos GitHub-adattárral rendelkezik a Microsoft és a közösség által végzett közösségi hozzájárulásokhoz. Ez a tartalomközpont legtöbb tartalomelemének forrása.

A tartalom következetes felderítése érdekében az OOTB-tartalom központosítási módosításai már ki lettek terjesztve a Microsoft Sentinel GitHub-adattárra:

  • A Content Hub-megoldásokból csomagolt OOTB-tartalmak mostantól a GitHub-adattár Megoldások mappájában vannak tárolva.
  • Minden önálló OOTB-tartalomelem a megfelelő helyen marad.

A tartalomközpont és a Microsoft Sentinel GitHub adattár módosításai befejezik a Microsoft Sentinel-tartalmak központosítása felé vezető utat.

Mikor jön ez a változás?

Megjelentek a központosítási változások! A Microsoft Sentinel GitHub módosításai már megtörténtek. Az önálló tartalom a meglévő GitHub-mappákban érhető el, és a megoldás tartalma át lett helyezve a Megoldások mappába.

A Következő lépések lap módosítása már befejeződött.

A módosítás hatóköre

Ez a módosítás csak a katalógus tartalomtípusára vonatkozik. Ezek a sablonok és több OOTB-tartalom elérhető a tartalomközpontban megoldásként vagy önálló tartalomként.

A Microsoft Sentinel GitHub-adattár esetében a tartalomközpont megoldásokba csomagolt OOTB-tartalmai mostantól csak a GitHub-adattár Megoldások mappájában jelennek meg. A többi meglévő GitHub-tartalom hatóköre az alábbi mappákra terjed ki, és csak önálló tartalomelemeket tartalmaz. A listában nem említett többi GitHub-mappában lévő tartalom nem tartalmaz módosításokat.

Mi nem változik?

Ez a módosítás nem érinti az aktív vagy egyéni elemeket (sablonból vagy más módon létrehozott). Ez a módosítás nem érinti a következő elemeket:

  • Állapottal = rendelkező adatösszekötők Csatlakozás.
  • Riasztási szabályok vagy észlelések (engedélyezve vagy letiltva) az Elemzési gyűjtemény Aktív szabályok lapján.
  • Mentett munkafüzetek a Munkafüzetek gyűjtemény Saját munkafüzetek lapján.
  • Klónozott tartalom vagy Egyéni tartalomforrás = a vadászgyűjteményben.
  • Aktív forgatókönyvek (engedélyezve vagy letiltva) az Automation-katalógus Aktív forgatókönyvek lapján.

Ez a módosítás nem érinti a tartalomközpontból telepített OOTB-tartalomsablonokat (amely tartalomforrás = tartalomközpontként azonosítható).

What's changing?

Az összes sablontárban megjelenik egy terméken belüli figyelmeztető szalagcím. Ez a szalagcím egy olyan eszközre mutató hivatkozást tartalmaz, amely a Microsoft Sentinel portálon fog futni. Az eszköz aktiválása interaktív felületet indít el az IN U Standard kiadás kivezetett sablonok tartalomsablonjainak visszaállításához a tartalomközpontból.

Az eszköznek munkaterületenként csak egyszer kell futnia, ezért mindenképpen tervezze meg a szervezettel. Az eszköz sikeres futtatása után a figyelmeztető szalagcím eltűnik a munkaterület sablontáraiból.

Az alábbi táblázat az egyes gyűjtemények tartalomsablonjaira gyakorolt konkrét hatásokat sorolja fel. Várjon ezekre a változásokra most, hogy az OOTB-tartalom központosítása élőben történik.

Tartalomtípus Hatás
Adatösszekötők A tartalomforrás-katalógus = tartalmaként azonosítható sablonok és a Nem csatlakoztatott állapot = többé nem jelennek meg az adatösszekötők gyűjteményében.
Elemzés A forrásnév-katalógus = tartalmaként azonosítható sablonok többé nem jelennek meg az elemzési gyűjteményben.
Vadászat A tartalomforrás-katalógus = tartalmát tartalmazó sablonok többé nem jelennek meg a keresési gyűjteményben.
Útmutatók A forrásnév-katalógus = tartalmaként azonosítható sablonok többé nem jelennek meg az Automation forgatókönyv-gyűjteményében.
Munkafüzetek A tartalomforrás-katalógus = tartalmát tartalmazó sablonok a továbbiakban nem jelennek meg a munkafüzetek gyűjteményében.

Íme egy példa egy elemzési szabályra a központosítási változások és az eszköz futtatása előtt és után:

  • Az aktív elemzési szabály egyáltalán nem változik. Ez egy kivezetendő elemzési szabálysablonon alapul.

    Screenshot that shows an active analytics rule before centralization changes.

    Ez a képernyőkép egy kivezetendő elemzési szabálysablont jelenít meg.

    Screenshot that shows the analytics rule template that will be retired.

  • Miután futtatta az eszközt az elemzési szabálysablon visszaállításához, a forrás megváltozik a megoldáson, amelyből visszaállítja azt.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

Szükséges művelet

  • Telepítsen új OOTB-tartalmat a tartalomközpontból, és szükség szerint frissítse a megoldásokat a sablonok legújabb verzióinak használatához.
  • A már használatban lévő katalógusbeli tartalomsablonok jövőbeli frissítéséhez telepítse a megoldásokat vagy az önálló tartalomelemeket a tartalomközpontból. Előfordulhat, hogy a funkciógyűjtemények katalógustartalma elavult.
  • Ha olyan alkalmazásokkal vagy folyamatokkal rendelkezik, amelyek közvetlenül kapnak OOTB-tartalmat a Microsoft Sentinel GitHub-adattárból, frissítse a helyeket úgy, hogy a meglévő tartalommappák mellett oOTB-tartalmakat is lekérjen a Megoldások mappából.
  • Tervezze meg a szervezettel, hogy ki fogja futtatni az eszközt, és mikor, most, hogy a figyelmeztető szalagcím és a módosítások élőben jelennek meg. Az eszköznek egyszer kell futnia egy munkaterületen, hogy visszaállítsa az összes in U Standard kiadás kivont sablont a tartalomközpontból.
  • A környezetre vonatkozó további részletekért tekintse át az alábbi gyakori kérdéseket.

Tartalom-központosítás – gyakori kérdések

Ez a változás hatással lesz az SOC-riasztások generálása vagy az incidensek generálása és kezelése során?

Nem. Nincs hatással az aktív riasztási szabályokra vagy észlelésekre, az aktív forgatókönyvekre, a klónozott keresési lekérdezésekre vagy a mentett munkafüzetekre. Az OOTB-tartalom központosításának módosítása nem befolyásolja az aktuális incidensgenerálási és felügyeleti folyamatokat.

Vannak kivételek a katalógus tartalmára vonatkozóan?

Igen. A következő elemzési szabálysablonok mentesülnek a módosítás alól:

  • Anomáliák szabálysablonjai
  • Fúziós szabálysablonok
  • ML Behavior Analytics (gépi tanulási) szabálysablonok
  • Microsoft Security (incidens létrehozása) szabálysablonok
  • Fenyegetésintelligencia-szabálysablonok

Ez a változás hatással lesz bármelyik API-ra?

Igen. Jelenleg csak a Microsoft Sentinel REST API-hívások léteznek a tartalomsablon-kezeléshez a Get riasztási szabálysablonok és List -műveletek. Ezek a műveletek csak a felületi katalógus tartalomsablonjait fogják frissíteni, és nem lesznek frissítve. Ezekről a műveletekről az aktuális riasztási szabálysablonok REST API-referenciája nyújt további információt.

A tartalomközpont új REST API-műveletei hamarosan elérhetők lesznek az OOTB-tartalomkezelési forgatókönyvek szélesebb körű engedélyezéséhez. Ez az API-frissítés a központosítási módosításokban (adatösszekötők, forgatókönyvsablonok, munkafüzetsablonok, elemzési szabálysablonok, keresési lekérdezések) meghatározott tartalomtípusok műveleteit tartalmazza. A munkaterületre telepített elemzési szabálysablonok frissítésére szolgáló mechanizmus is szerepel az ütemtervben.

Szükséges művelet: Tervezze meg az alkalmazások és folyamatok frissítését a tartalomközpont új OOTB tartalomkezelési API-műveleteinek használatára, ha azok elérhetők. Eredetileg azt fejeztük ki, hogy ez 2023 második negyedévében elérhető lesz, de még nem állnak készen.

Hogyan azonosítja a központi eszköz a használatban lévő OOTB-tartalomsablonokat?

Az eszköz két feltétel alapján készíti el a megoldások listáját: a Status = Csatlakozás ed és az IN U Standard kiadás forgatókönyvsablonokkal rendelkező adatösszekötők alapján. Miután az eszköz összeállította a javasolt megoldások listáját, jóváhagyásra bemutatja a listát. Ha a lista jóváhagyásra kerül, az eszköz telepíti az összes megoldást. Mivel az OOTB-tartalom a megoldások alapján van visszaállítva, több sablont kaphat, mint amennyit ténylegesen használ.

Ez a központi eszköz a legjobb megoldás az IN U Standard kiadás OOTB-tartalomsablonok visszaállítására a tartalomközpontból. A kihagyott OOTB-tartalmat közvetlenül a tartalomközpontból telepítheti.

Mi a teendő, ha API-kat használok adatforrások csatlakoztatásához a Microsoft Sentinel-munkaterületemen?

Ha egy API-adatkapcsolat egyezik az adatösszekötő adattípusával, az állapotként = jelenik meg Csatlakozás az adatösszekötők gyűjteményében. Miután a központosítási módosítások életbe lépnek, az adott adatösszekötőt telepíteni kell egy adott megoldásból, hogy ugyanazt a viselkedést kapja.

Szükséges művelet: Tervezze meg, hogy frissíti az adatösszekötő üzembe helyezésének folyamatait vagy eszközeit a content hub-megoldásokból való telepítéshez, mielőtt csatlakozik az adatbetöltési API-khoz. A megoldás telepítéséhez szükséges REST API-operátor 2023. második negyedévében érkezik az OOTB tartalomkezelési API-kkal.

Mi történik, ha a Microsoft Sentinel adattárak funkciójával dolgozom a tartalmakon?

Az adattárak kifejezetten egyéni vagy aktív tartalmakat helyeznek üzembe a Microsoft Sentinelben. Az OOTB-tartalom központosítási változásai nem érintik az adattárak funkcióval üzembe helyezett tartalmakat.

Ez hatással van a munkaterület-kezelő üzembehelyezési csoportjaira?

Az adattárakhoz hasonlóan a Munkaterület-kezelő is csak egyéni vagy aktív tartalmakat helyez üzembe, így az OOTB-tartalom központosítási változásai sem érintik a munkaterület-kezelőn keresztül üzembe helyezett tartalmakat.

Következő lépések

Tekintse meg az OOTB-tartalmak és a tartalomközpont további erőforrásait: