A Microsoft Sentinel beépített tartalomközpontosítási változásai
A Microsoft Sentinel tartalomközpont egyetlen lépésben teszi lehetővé a beépített (OOTB) tartalmak és megoldások felderítését és igény szerinti telepítését. Korábban az OOTB-tartalom egy része csak a Microsoft Sentinel különböző katalógusszakaszaiban létezett. A következő katalógusbeli tartalomsablonok mostantól különálló elemekként vagy csomagolt megoldások részeként érhetők el a tartalomközpontban:
- Adatösszekötők
- Elemzési szabálysablonok
- Veszélyforrás-keresési lekérdezések
- Forgatókönyvsablonok
- Munkafüzetsablonok
A tartalomközpont változásai
Az OOTB-tartalmak központosításához kivontuk a csak katalógusból álló tartalomsablonokat. Az örökölt katalógus tartalomsablonjai már nem frissülnek következetesen, és az OOTB-tartalom a tartalomközpontban marad naprakész. A tartalomközpont emellett frissített munkafolyamatokat biztosít az önálló tartalmak megoldásához és automatikus frissítéséhez.
Az átállás megkönnyítése érdekében közzétettünk egy központi eszközt az IN U Standard kiadás a megfelelő tartalomközpont-megoldásokból kivont sablonok visszaállításához.
Az IN U Standard kiadás kivezetett sablonok visszaállítása a központi eszközzel
Most, hogy a tartalomközpont központosítási módosításai befejeződtek, íme egy áttekintés a központi eszköz visszaállításának folyamatáról.
A figyelmeztető szalagcímen található hivatkozásra kattintva visszaállíthatja az U Standard kiadás kivezetett, csak katalógusban lévő tartalomsablonokat.
Ez a képernyőkép a Munkafüzetek gyűjteményben található figyelmeztető szalagcímre mutat példát.
Jelölje ki a hivatkozást, és gondosan olvassa el a lapot.
Válassza a Folytatás lehetőséget, és tekintse át az eszköz által létrehozott tartalom listáját.
A telepítés elindításához válassza a Teljes központosítás lehetőséget. A kijelölés ki lett javítva, és nem módosítható.
Adatösszekötő oldalának módosítása
Mostantól minden adatösszekötő egy megoldás része. Korábban az irányítópult-vizualizációk (mai nevén munkafüzetek) előléptetéséhez és a KQL-mintalekérdezések biztosításához az adatösszekötő oldal Következő lépések lapján szerepelt néhány elem. Elavult az adatösszekötő oldal Következő lépések szakasza az új megoldástartalom-viselkedés mellett, ahol az összes megoldásösszetevőt az adatösszekötő mellett kezeli a rendszer.
A frissített viselkedés megtapasztalásának kulcsa a Content Hubban való kezdés. Az előző viselkedés és az új felület összehasonlításához vizsgálja meg az Azure Activity adatösszekötőt. Miután telepítette a megoldást a tartalomközpontból, és kiválasztotta a Kezelés lehetőséget, a teljes megoldás elérhető az ellenőrzéshez. Ha az Azure Activity-adatösszekötő vizualizációját szeretné megjeleníteni, tekintse meg a munkafüzet sablonját. Ha KQL-lekérdezéseket szeretne látni, kezdje az adattáblával. Speciális lekérdezések esetén tekintse meg az elemzési szabályokat és a keresési lekérdezéseket.
Az új megoldástartalom működésével kapcsolatos további információkért lásd : OOTB-tartalom felderítése és üzembe helyezése.
Ha egy külső adatösszekötőhöz adott minta lekérdezést keres, továbbra is közzétesszük őket a Minden összekötő indexben. Itt látható például a Jamf Protect-összekötőhöz tartozó minta lekérdezések.
A Microsoft Sentinel GitHub változásai
A Microsoft Sentinel hivatalos GitHub-adattárral rendelkezik a Microsoft és a közösség által végzett közösségi hozzájárulásokhoz. Ez a tartalomközpont legtöbb tartalomelemének forrása.
A tartalom következetes felderítése érdekében az OOTB-tartalom központosítási módosításai már ki lettek terjesztve a Microsoft Sentinel GitHub-adattárra:
- A Content Hub-megoldásokból csomagolt OOTB-tartalmak mostantól a GitHub-adattár Megoldások mappájában vannak tárolva.
- Minden önálló OOTB-tartalomelem a megfelelő helyen marad.
A tartalomközpont és a Microsoft Sentinel GitHub adattár módosításai befejezik a Microsoft Sentinel-tartalmak központosítása felé vezető utat.
Mikor jön ez a változás?
Megjelentek a központosítási változások! A Microsoft Sentinel GitHub módosításai már megtörténtek. Az önálló tartalom a meglévő GitHub-mappákban érhető el, és a megoldás tartalma át lett helyezve a Megoldások mappába.
A Következő lépések lap módosítása már befejeződött.
A módosítás hatóköre
Ez a módosítás csak a katalógus tartalomtípusára vonatkozik. Ezek a sablonok és több OOTB-tartalom elérhető a tartalomközpontban megoldásként vagy önálló tartalomként.
A Microsoft Sentinel GitHub-adattár esetében a tartalomközpont megoldásokba csomagolt OOTB-tartalmai mostantól csak a GitHub-adattár Megoldások mappájában jelennek meg. A többi meglévő GitHub-tartalom hatóköre az alábbi mappákra terjed ki, és csak önálló tartalomelemeket tartalmaz. A listában nem említett többi GitHub-mappában lévő tartalom nem tartalmaz módosításokat.
- Data Csatlakozás ors mappa
- Észlelési mappa (elemzési szabályok)
- Lekérdezések keresése mappa
- Elemző mappa
- Forgatókönyvek mappa
- Munkafüzetek mappa
Mi nem változik?
Ez a módosítás nem érinti az aktív vagy egyéni elemeket (sablonból vagy más módon létrehozott). Ez a módosítás nem érinti a következő elemeket:
- Állapottal = rendelkező adatösszekötők Csatlakozás.
- Riasztási szabályok vagy észlelések (engedélyezve vagy letiltva) az Elemzési gyűjtemény Aktív szabályok lapján.
- Mentett munkafüzetek a Munkafüzetek gyűjtemény Saját munkafüzetek lapján.
- Klónozott tartalom vagy Egyéni tartalomforrás = a vadászgyűjteményben.
- Aktív forgatókönyvek (engedélyezve vagy letiltva) az Automation-katalógus Aktív forgatókönyvek lapján.
Ez a módosítás nem érinti a tartalomközpontból telepített OOTB-tartalomsablonokat (amely tartalomforrás = tartalomközpontként azonosítható).
What's changing?
Az összes sablontárban megjelenik egy terméken belüli figyelmeztető szalagcím. Ez a szalagcím egy olyan eszközre mutató hivatkozást tartalmaz, amely a Microsoft Sentinel portálon fog futni. Az eszköz aktiválása interaktív felületet indít el az IN U Standard kiadás kivezetett sablonok tartalomsablonjainak visszaállításához a tartalomközpontból.
Az eszköznek munkaterületenként csak egyszer kell futnia, ezért mindenképpen tervezze meg a szervezettel. Az eszköz sikeres futtatása után a figyelmeztető szalagcím eltűnik a munkaterület sablontáraiból.
Az alábbi táblázat az egyes gyűjtemények tartalomsablonjaira gyakorolt konkrét hatásokat sorolja fel. Várjon ezekre a változásokra most, hogy az OOTB-tartalom központosítása élőben történik.
Tartalomtípus | Hatás |
---|---|
Adatösszekötők | A tartalomforrás-katalógus = tartalmaként azonosítható sablonok és a Nem csatlakoztatott állapot = többé nem jelennek meg az adatösszekötők gyűjteményében. |
Elemzés | A forrásnév-katalógus = tartalmaként azonosítható sablonok többé nem jelennek meg az elemzési gyűjteményben. |
Vadászat | A tartalomforrás-katalógus = tartalmát tartalmazó sablonok többé nem jelennek meg a keresési gyűjteményben. |
Útmutatók | A forrásnév-katalógus = tartalmaként azonosítható sablonok többé nem jelennek meg az Automation forgatókönyv-gyűjteményében. |
Munkafüzetek | A tartalomforrás-katalógus = tartalmát tartalmazó sablonok a továbbiakban nem jelennek meg a munkafüzetek gyűjteményében. |
Íme egy példa egy elemzési szabályra a központosítási változások és az eszköz futtatása előtt és után:
Az aktív elemzési szabály egyáltalán nem változik. Ez egy kivezetendő elemzési szabálysablonon alapul.
Ez a képernyőkép egy kivezetendő elemzési szabálysablont jelenít meg.
Miután futtatta az eszközt az elemzési szabálysablon visszaállításához, a forrás megváltozik a megoldáson, amelyből visszaállítja azt.
Szükséges művelet
- Telepítsen új OOTB-tartalmat a tartalomközpontból, és szükség szerint frissítse a megoldásokat a sablonok legújabb verzióinak használatához.
- A már használatban lévő katalógusbeli tartalomsablonok jövőbeli frissítéséhez telepítse a megoldásokat vagy az önálló tartalomelemeket a tartalomközpontból. Előfordulhat, hogy a funkciógyűjtemények katalógustartalma elavult.
- Ha olyan alkalmazásokkal vagy folyamatokkal rendelkezik, amelyek közvetlenül kapnak OOTB-tartalmat a Microsoft Sentinel GitHub-adattárból, frissítse a helyeket úgy, hogy a meglévő tartalommappák mellett oOTB-tartalmakat is lekérjen a Megoldások mappából.
- Tervezze meg a szervezettel, hogy ki fogja futtatni az eszközt, és mikor, most, hogy a figyelmeztető szalagcím és a módosítások élőben jelennek meg. Az eszköznek egyszer kell futnia egy munkaterületen, hogy visszaállítsa az összes in U Standard kiadás kivont sablont a tartalomközpontból.
- A környezetre vonatkozó további részletekért tekintse át az alábbi gyakori kérdéseket.
Tartalom-központosítás – gyakori kérdések
Ez a változás hatással lesz az SOC-riasztások generálása vagy az incidensek generálása és kezelése során?
Nem. Nincs hatással az aktív riasztási szabályokra vagy észlelésekre, az aktív forgatókönyvekre, a klónozott keresési lekérdezésekre vagy a mentett munkafüzetekre. Az OOTB-tartalom központosításának módosítása nem befolyásolja az aktuális incidensgenerálási és felügyeleti folyamatokat.
Vannak kivételek a katalógus tartalmára vonatkozóan?
Igen. A következő elemzési szabálysablonok mentesülnek a módosítás alól:
- Anomáliák szabálysablonjai
- Fúziós szabálysablonok
- ML Behavior Analytics (gépi tanulási) szabálysablonok
- Microsoft Security (incidens létrehozása) szabálysablonok
- Fenyegetésintelligencia-szabálysablonok
Ez a változás hatással lesz bármelyik API-ra?
Igen. Jelenleg csak a Microsoft Sentinel REST API-hívások léteznek a tartalomsablon-kezeléshez a Get
riasztási szabálysablonok és List
-műveletek. Ezek a műveletek csak a felületi katalógus tartalomsablonjait fogják frissíteni, és nem lesznek frissítve. Ezekről a műveletekről az aktuális riasztási szabálysablonok REST API-referenciája nyújt további információt.
A tartalomközpont új REST API-műveletei hamarosan elérhetők lesznek az OOTB-tartalomkezelési forgatókönyvek szélesebb körű engedélyezéséhez. Ez az API-frissítés a központosítási módosításokban (adatösszekötők, forgatókönyvsablonok, munkafüzetsablonok, elemzési szabálysablonok, keresési lekérdezések) meghatározott tartalomtípusok műveleteit tartalmazza. A munkaterületre telepített elemzési szabálysablonok frissítésére szolgáló mechanizmus is szerepel az ütemtervben.
Szükséges művelet: Tervezze meg az alkalmazások és folyamatok frissítését a tartalomközpont új OOTB tartalomkezelési API-műveleteinek használatára, ha azok elérhetők. Eredetileg azt fejeztük ki, hogy ez 2023 második negyedévében elérhető lesz, de még nem állnak készen.
Hogyan azonosítja a központi eszköz a használatban lévő OOTB-tartalomsablonokat?
Az eszköz két feltétel alapján készíti el a megoldások listáját: a Status = Csatlakozás ed és az IN U Standard kiadás forgatókönyvsablonokkal rendelkező adatösszekötők alapján. Miután az eszköz összeállította a javasolt megoldások listáját, jóváhagyásra bemutatja a listát. Ha a lista jóváhagyásra kerül, az eszköz telepíti az összes megoldást. Mivel az OOTB-tartalom a megoldások alapján van visszaállítva, több sablont kaphat, mint amennyit ténylegesen használ.
Ez a központi eszköz a legjobb megoldás az IN U Standard kiadás OOTB-tartalomsablonok visszaállítására a tartalomközpontból. A kihagyott OOTB-tartalmat közvetlenül a tartalomközpontból telepítheti.
Mi a teendő, ha API-kat használok adatforrások csatlakoztatásához a Microsoft Sentinel-munkaterületemen?
Ha egy API-adatkapcsolat egyezik az adatösszekötő adattípusával, az állapotként = jelenik meg Csatlakozás az adatösszekötők gyűjteményében. Miután a központosítási módosítások életbe lépnek, az adott adatösszekötőt telepíteni kell egy adott megoldásból, hogy ugyanazt a viselkedést kapja.
Szükséges művelet: Tervezze meg, hogy frissíti az adatösszekötő üzembe helyezésének folyamatait vagy eszközeit a content hub-megoldásokból való telepítéshez, mielőtt csatlakozik az adatbetöltési API-khoz. A megoldás telepítéséhez szükséges REST API-operátor 2023. második negyedévében érkezik az OOTB tartalomkezelési API-kkal.
Mi történik, ha a Microsoft Sentinel adattárak funkciójával dolgozom a tartalmakon?
Az adattárak kifejezetten egyéni vagy aktív tartalmakat helyeznek üzembe a Microsoft Sentinelben. Az OOTB-tartalom központosítási változásai nem érintik az adattárak funkcióval üzembe helyezett tartalmakat.
Ez hatással van a munkaterület-kezelő üzembehelyezési csoportjaira?
Az adattárakhoz hasonlóan a Munkaterület-kezelő is csak egyéni vagy aktív tartalmakat helyez üzembe, így az OOTB-tartalom központosítási változásai sem érintik a munkaterület-kezelőn keresztül üzembe helyezett tartalmakat.
Következő lépések
Tekintse meg az OOTB-tartalmak és a tartalomközpont további erőforrásait: