Megosztás a következőn keresztül:

A Microsoft Sentinel beépített tartalmainak felderítése és kezelése

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

A Microsoft Sentinel Content Hub a központosított hely a beépített (beépített) tartalmak felderítéséhez és kezeléséhez. Itt olyan csomagolt megoldásokat talál, amelyek a végpontok közötti termékekhez tartomány vagy iparág szerint vannak csomagolva. A GitHub-adattárban és a funkciók paneljeiben üzemeltetett nagyszámú önálló közreműködéshez férhet hozzá.

  • Az állapot, a tartalomtípus, a támogatás, a szolgáltató és a kategória alapján egységes szűrési képességekkel rendelkező megoldásokat és különálló tartalmakat fedezhet fel.

  • Egyszerre vagy egyenként telepítse a tartalmat a munkaterületen.

  • Listanézetben tekintheti meg a tartalmat, és gyorsan megtekintheti, hogy mely megoldások rendelkeznek frissítésekkel. Egyszerre frissítse a megoldásokat, miközben az önálló tartalom automatikusan frissül.

  • A megoldás kezelése a tartalomtípusok telepítéséhez és a legújabb módosítások lekéréséhez.

  • Konfigurálja az önálló tartalmat új aktív elemek létrehozásához a legfrissebb sablon alapján.

Ha Ön olyan partner, aki saját megoldást szeretne létrehozni, tekintse meg a Microsoft Sentinel Solutions buildelési útmutatóját a megoldások létrehozásához és közzétételéhez.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

A tartalomközpont önálló tartalmainak vagy megoldásainak telepítéséhez, frissítéséhez és törléséhez a Microsoft Sentinel közreműködői szerepkörre van szüksége az erőforráscsoport szintjén.

A Microsoft Sentinel által támogatott egyéb szerepkörökről és engedélyekről további információt a Microsoft Sentinel engedélyeivel kapcsolatban talál.

Tartalom felderítése

A tartalomközpont a legjobb módot kínálja az új tartalom megkeresésére vagy a már telepített megoldások kezelésére.

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.

    A Tartalomközpont lapon egy kereshető rács, illetve a megoldások és önálló tartalmak listája látható.

  2. Szűrje a megjelenített listát a szűrők adott értékeinek kiválasztásával, vagy egy tartalomnév vagy leírás bármely részének megadásával a Keresés mezőben.

    További információ: A Microsoft Sentinel beépített tartalmai és megoldásai.

  3. Válassza a Kártya nézetet a megoldással kapcsolatos további információk megtekintéséhez.

    Minden tartalomelem a rá vonatkozó kategóriákat, a megoldások pedig a benne foglalt tartalomtípusokat jelenítik meg. Az alábbi képen például a Cisco Umbrella megoldás az egyik kategóriáját a Biztonság – Felhőbiztonság kategóriába sorolja, és azt jelzi, hogy tartalmaz egy adatösszekötőt, elemzési szabályokat, keresési lekérdezéseket, forgatókönyveket stb.

Tartalom telepítése vagy frissítése

Önálló tartalmak és megoldások telepítése egyenként vagy együttesen, tömegesen. A tömeges műveletekkel kapcsolatos további információkért lásd a tartalom tömeges telepítését és frissítését a következő szakaszban.

Ha egy telepített megoldás frissítéseket tartalmaz a legutóbbi üzembe helyezés óta, a listanézet a Frissítés állapotoszlopban jelenik meg. A megoldás a lap tetején található Frissítések számában is szerepel.

Íme egy példa egy egyedi megoldás telepítésére.

  1. A Content Hubban keresse meg és válassza ki a megoldást.

  2. A megoldások részletei panelen, a jobb alsó sarokban válassza a Részletek megtekintése lehetőséget.

  3. Válassza a Létrehozás vagy frissítés lehetőséget.

  4. Az Alapok lapon adja meg az előfizetést, az erőforráscsoportot és a munkaterületet a megoldás üzembe helyezéséhez. Példa:

    Képernyőkép egy megoldástelepítési varázslóról, amelyen az Alapok lap látható.

  5. A Tovább gombra kattintva áttekintheti a többi lapot, és bizonyos esetekben konfigurálhatja az egyes tartalomösszetevőket.

    A lapok megfelelnek a megoldás által kínált tartalomnak. A különböző megoldások különböző típusú tartalommal rendelkezhetnek, ezért előfordulhat, hogy nem minden megoldásban ugyanazokat a lapokat látja.

    Előfordulhat, hogy a rendszer arra kéri, hogy adjon meg hitelesítő adatokat egy nem Microsoft-szolgáltatásnak, hogy a Microsoft Sentinel hitelesíthesse magát a rendszereiben. Forgatókönyvek esetén például érdemes lehet a rendszer által előírt válaszműveleteket végrehajtani.

  6. A Véleményezés + létrehozás lapon várja meg az Validation Passed üzenetet.

  7. A megoldás üzembe helyezéséhez válassza a Létrehozás vagy frissítés lehetőséget. A megoldás kódként való üzembe helyezéséhez kiválaszthatja a Sablon letöltése automatizáláshoz hivatkozást is.

Telepítés függőségekkel

Egyes megoldások telepítése függőségekkel is rendelkezik, beleértve számos tartományi megoldást és megoldást, amelyek a CEF, a Syslog vagy az egyéni naplók egyesített AMA-összekötőit használják.

Ilyen esetekben válassza a Telepítés függőségekkel lehetőséget, hogy a szükséges adatösszekötők is telepítve legyenek. Innen válasszon ki egy vagy több függőséget, hogy az eredeti megoldással együtt telepítse őket. A telepítéshez választott eredeti megoldás mindig alapértelmezés szerint ki van választva.

Ha egy vagy több függőségi megoldás már telepítve van, de rendelkezik frissítésekkel, a Telepítés/frissítés gombbal egyszerre telepítheti és frissítheti az összes kiválasztott megoldást tömegesen. Példa:

Képernyőkép több megoldásfüggőség tömeges telepítéséről.

A megoldás telepítése után előfordulhat, hogy a megoldás minden tartalomtípusához további lépések szükségesek. További információ: Tartalomelemek engedélyezése egy megoldásban.

Tartalom tömeges telepítése és frissítése

A Tartalomközpont az alapértelmezett kártyanézet mellett listanézetet is támogat. A listanézet kiválasztásával egyszerre több megoldást és különálló tartalmat is telepíthet. Az önálló tartalmakat a rendszer automatikusan naprakészen tartja. A tartalomközpontból telepített megoldások vagy önálló tartalmak alapján létrehozott aktív vagy egyéni tartalmak érintetlenek maradnak.

  1. Ha tömegesen szeretné telepíteni vagy frissíteni az elemeket, váltson a listanézetre.

  2. Keressen rá vagy szűrjön a telepíteni vagy frissíteni kívánt tartalom tömeges megkereséséhez.

  3. Jelölje be a telepíteni vagy frissíteni kívánt megoldások vagy különálló tartalmak jelölőnégyzetét.

  4. Válassza a Telepítés/frissítés gombot. Képernyőkép a megoldások listanézetéről, amelyen több megoldás van kijelölve, és a telepítés folyamatban van.

    Ha egy kiválasztott megoldás vagy önálló tartalom már telepítve vagy frissítve van, a rendszer nem hajt végre műveletet az adott elemen. Ez nem zavarja a többi elem frissítését és telepítését.

  5. Válassza a Manage (Kezelés ) lehetőséget minden telepített megoldáshoz. A megoldáson belüli tartalomtípusok konfigurálásához további információkra lehet szükség. További információ: Tartalomelemek engedélyezése egy megoldásban.

Tartalomelemek engedélyezése egy megoldásban

A tartalomközpontból telepített megoldások tartalomelemeinek központi kezelése.

  1. A tartalomközpontban válasszon ki egy telepített megoldást, ahol a verzió 2.0.0 vagy újabb.

  2. A Megoldások részletei lapon válassza a Kezelés lehetőséget.

    Képernyőkép az Azure Activity content hub megoldás részletek oldalán található Kezelés gombról.

  3. Tekintse át a tartalomelemek listáját.

    Képernyőkép az Azure Activity-megoldáshoz tartozó megoldás leírásáról és tartalomelemeinek listájáról.

  4. Első lépésként válasszon ki egy tartalomelemet.

Az egyes tartalomtípusok kezelése

Az alábbi szakaszok néhány tippet tartalmaznak a különböző tartalomtípusok megoldáskezelés közbeni használatához.

Adatösszekötő

Adatösszekötő csatlakoztatásához végezze el a konfigurációs lépéseket.

  1. Válassza az Összekötő megnyitása lap lehetőséget.

  2. Hajtsa végre az adatösszekötő konfigurációs lépéseit.

    Képernyőkép az Azure Activity-megoldás adatösszekötő-tartalomeleméről, ahol az állapot leválasztva van.

    Miután konfigurálta az adatösszekötőt és a naplókat, az állapot a Csatlakoztatott állapotra változik.

Elemzési szabály

Szabály létrehozása sablonból vagy meglévő szabály szerkesztése.

  1. Tekintse meg a sablont az elemzési sablongyűjteményben.

  2. Ha még nem használja a sablont, válassza a Szabály megnyitása> lehetőséget, és kövesse az elemzési szabály engedélyezéséhez szükséges lépéseket.

    A szabály létrehozása után a sablonból létrehozott aktív szabályok száma megjelenik a Létrehozott tartalom oszlopban.

  3. Válassza ki az aktív szabályok hivatkozását a meglévő szabály szerkesztéséhez. Az alábbi képen látható aktív szabályhivatkozás például a Létrehozott tartalom alatt található, és 2 elemet jelenít meg.

    Képernyőkép az Azure-tevékenység megoldásában található elemzési szabály tartalomeleméről.

Keresési lekérdezés

Futtassa a megadott keresési lekérdezést, vagy szabja testre.

  1. Ha azonnal hozzá szeretne kezdeni a kereséshez, válassza a Lekérdezés futtatása lehetőséget a részletek lapon a gyors eredmények érdekében.

    Képernyőkép a klónozott keresési lekérdezés tartalomeleméről az Azure-tevékenység megoldásában.

  2. A keresési lekérdezés testreszabásához válassza ki a hivatkozást a Tartalomnév oszlopban.

    A vadászati gyűjteményből létrehozhat egy klónt az írásvédett keresési lekérdezési sablonból a három pont menüben. Az így létrehozott lekérdezések a tartalomközpont Létrehozott tartalom oszlopában jelennek meg elemekként.

Munkafüzet

A sablonból létrehozott munkafüzet testreszabásához hozzon létre egy munkafüzetpéldányt.

  1. Válassza a Nézet sablon lehetőséget a munkafüzet megnyitásához és a vizualizációk megtekintéséhez.

  2. Válassza a Mentés lehetőséget a munkafüzetsablon egy példányának létrehozásához.

  3. A mentett testreszabható munkafüzet megtekintéséhez válassza a Mentett munkafüzet megtekintése lehetőséget.

  4. A tartalomközpontban válassza a Létrehozott tartalom oszlop 1 elem hivatkozását a munkafüzet kezeléséhez.

    Képernyőkép az Azure-tevékenység megoldásában mentett munkafüzetelemről.

Elemző

Ha egy megoldás telepítve van, a rendszer hozzáadja a benne lévő elemzőket munkaterületi függvényként a Log Analyticsben.

  1. Válassza a Függvénykód betöltése lehetőséget a Log Analytics megnyitásához és a függvénykód megtekintéséhez vagy futtatásához.

  2. Válassza a Szerkesztő használata lehetőséget a Log Analytics megnyitásához az elemzési névvel, amely készen áll az egyéni lekérdezéshez való hozzáadásra.

    Képernyőkép a megoldásban található elemzési tartalomtípusról.

Forgatókönyv

Forgatókönyv létrehozása sablonból.

  1. Válassza ki a forgatókönyv Tartalomnév hivatkozását.

  2. Válassza ki a sablont, és válassza a Forgatókönyv létrehozása lehetőséget.

  3. A forgatókönyv létrehozása után az aktív forgatókönyv megjelenik a Létrehozott tartalom oszlopban.

  4. Válassza az aktív forgatókönyv 1 elem hivatkozását a forgatókönyv kezeléséhez.

    Képernyőkép a forgatókönyv típusú tartalomtípusról egy megoldásban.

A tartalom támogatási modelljének megkeresése

Minden megoldás és önálló tartalomelem a támogatási modellt ismerteti a támogatási panelen, a Támogatási mezőben, ahol a Microsoft vagy egy partner neve szerepel. Példa:

Képernyőkép arról, hogy hol található a megoldás támogatási modellje.

Az ügyfélszolgálattal való kapcsolatfelvételkor szükség lehet a megoldás egyéb részleteire, például a közzétevőre, a szolgáltatóra és a csomagazonosítókra. Ezeket az információkat a Használati adatok > támogatási lap részletek lapján találja.

Képernyőkép egy megoldás használati és támogatási részleteiről.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan kereshet és helyezhet üzembe beépített megoldásokat és különálló tartalmakat a Microsoft Sentinelhez.

Számos megoldás tartalmaz olyan adatösszekötőket, amelyeket konfigurálnia kell, hogy megkezdhesse az adatok betöltését a Microsoft Sentinelbe. Minden adatösszekötő saját követelményekkel rendelkezik, amelyeket a Microsoft Sentinel adatösszekötő oldalán talál.

További információ: Adatforrás csatlakoztatása.