A Microsoft Sentinel tartalmai és megoldásai
A Microsoft Sentinel-tartalom biztonsági információ- és eseménykezelési (SIEM) megoldásösszetevők, amelyek lehetővé teszik az ügyfelek számára az adatok betöltését, figyelését, riasztását, keresését, kivizsgálását, megválaszolását és a különböző termékekhez, platformokhoz és szolgáltatásokhoz való kapcsolódást.
A Microsoft Sentinel tartalma a következő típusok bármelyikét tartalmazza:
- Az adatösszekötők különböző forrásokból származó naplóbetöltést biztosítanak a Microsoft Sentinelbe
- Az elemzők naplóformázást/ASIM-formátumokká alakítását biztosítják, támogatva a Microsoft Sentinel különböző tartalomtípusainak és forgatókönyveinek használatát
- A munkafüzetek monitorozást, vizualizációt és interaktivitást biztosítanak az adatokkal a Microsoft Sentinelben, kiemelve a felhasználók számára fontos megállapításokat
- Az elemzési szabályok olyan riasztásokat biztosítanak, amelyek incidenseken keresztül releváns SOC-műveletekre mutatnak
- Az SOC-csapatok a keresési lekérdezésekkel proaktívan keresnek fenyegetéseket a Microsoft Sentinelben
- A jegyzetfüzetek segítségével az SOC-csapatok speciális vadászati funkciókat használhatnak a Jupyterben és az Azure Notebookban
- A figyelőlisták támogatják adott adatok betöltését a fokozott fenyegetésészleléshez és a riasztások kimerültségének csökkentéséhez
- A forgatókönyvek és az Egyéni Azure Logic Apps-összekötők a Microsoft Sentinel automatizált vizsgálati, szervizelési és válaszforgatókönyveinek funkcióit biztosítják
A Microsoft Sentinel megoldásként és önálló elemként kínálja ezeket a tartalomtípusokat. A megoldások Microsoft Sentinel-tartalomcsomagok vagy Microsoft Sentinel API-integrációk, amelyek teljes körű termék-, tartomány- vagy iparági vertikális forgatókönyvet biztosítanak a Microsoft Sentinelben. Mind a megoldások, mind az önálló elemek felderíthetők és kezelhetők a Tartalomközpontból.
Testreszabhatja a beépített (OOTB) tartalmakat saját igényei szerint, vagy létrehozhat saját megoldást tartalommal a közösség másaival való megosztáshoz. További információkért tekintse meg a Microsoft Sentinel Solutions buildelési útmutatóját a megoldások szerkesztéséhez és közzétételéhez.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Microsoft Sentinel-tartalom felderítése és kezelése
A Microsoft Sentinel Content Hub használatával központilag felderítheti és telepítheti az OOTB-tartalmakat.
A Microsoft Sentinel Content Hub terméken belüli felderíthetőséget, egylépéses üzembe helyezést és a microsoft Sentinelben a termék, tartomány és/vagy függőleges OOTB-megoldások és -tartalmak engedélyezését biztosítja.
Szűrjön kategóriák és egyéb paraméterek szerint, vagy használja a hatékony szöveges keresést a szervezet igényeinek leginkább megfelelő tartalom megkereséséhez.
A Tartalomközpont az egyes tartalmakra alkalmazott támogatási modellt is jelzi, mivel egyes tartalmakat a Microsoft tart fenn, másokat pedig a partnerek vagy a közösség tart fenn.
A Tartalomközpontban a beépített tartalmak frissítéseinek kezelése. Egyéni tartalmak esetén pedig az Adattárak lapról kezelheti a frissítéseket. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
Testre szabhatja a beépített tartalmakat saját igényei szerint, vagy létrehozhat egyéni tartalmakat, például elemzési szabályokat, keresési lekérdezéseket, jegyzetfüzeteket, munkafüzeteket stb.
Az egyéni tartalmak kezelése közvetlenül a Microsoft Sentinel-munkaterületen a Microsoft Sentinel API-val vagy a saját forráskezelési adattárával. További információ: Microsoft Sentinel API és Egyéni tartalom üzembe helyezése az adattárból.
Miért érdemes tartalomközpont-megoldásokat használni?
A Microsoft Sentinel-megoldások olyan csomagolt integrációk, amelyek végpontok közötti termékértéket biztosítanak a tartalomközpont egy vagy több tartomány- vagy függőleges forgatókönyvéhez.
Az Azure Marketplace által nyújtott megoldási felület segít felderíteni és üzembe helyezni a kívánt tartalmat. A megoldások Azure Marketplace-en való szerkesztéséről és közzétételéről a Microsoft Sentinel Solutions buildelési útmutatójában talál további információt.
A csomagolt tartalom a Microsoft Sentinel-tartalom egy vagy több összetevőjének gyűjteménye, például adatösszekötők, munkafüzetek, elemzési szabályok, forgatókönyvek, keresési lekérdezések, figyelőlisták, elemzők stb.
Az integrációk magukban foglalják a Microsoft Sentinel vagy az Azure Log Analytics API-k használatával létrehozott szolgáltatásokat vagy eszközöket, amelyek támogatják az Azure és a meglévő ügyfélalkalmazások közötti integrációt, vagy adatokat, lekérdezéseket és egyebeket migrálnak ezekből az alkalmazásokból a Microsoft Sentinelbe.
Megoldásokkal egyetlen lépésben telepítheti a beépített (OOTB) tartalomcsomagokat is, ahol a tartalom gyakran azonnal használatra kész. A szolgáltatók és partnerek Sentinel-megoldásokkal adhatnak értéket ügyfeleik befektetéséhez kombinált termék, tartomány vagy függőleges érték biztosításával.
A Content Hub használatával központilag felderítheti és üzembe helyezheti a megoldásokat és az OOTB-tartalmakat forgatókönyvalapú módon.
További információkért lásd:
- A Microsoft Sentinel beépített tartalmak és megoldások központi felderítése és üzembe helyezése
- Microsoft Sentinel-megoldások katalógusa az Azure Marketplace-en
- Microsoft Sentinel katalógus
A Microsoft Sentinel beépített tartalmak és megoldások kategóriái
A Microsoft Sentinel beépített tartalmai az alábbi kategóriák valamelyikével alkalmazhatók. A Tartalomközpontban válassza ki azokat a kategóriákat, amelyeket meg szeretne tekinteni a megjelenített tartalom módosításához. A tartalomközpontban központilag kézbesített közösségi elemeket önálló tartalomként vagy megoldásként fedezheti fel.
Tartománykategóriák
| Kategória neve | Leírás |
|---|---|
| Alkalmazás | Webes, kiszolgálóalapú, SaaS-, adatbázis-, kommunikációs vagy termelékenységi számítási feladatok |
| Felhőszolgáltató | Felhőszolgáltatás |
| Engedékenység | Megfelelőségi termék, szolgáltatások és protokollok |
| DevOps | Fejlesztési műveletek eszközei és szolgáltatásai |
| Identitás | Identitásszolgáltatók és integrációk |
| Dolgok internete (IoT) | IoT- és üzemeltetési technológiai (OT-) eszközök, valamint infrastruktúra, ipari vezérlési szolgáltatások |
| IT-műveletek | It-t kezelő termékek és szolgáltatások |
| Migrálás | Migrálást engedélyező termékek, szolgáltatások és |
| Hálózat | Hálózati termékek, szolgáltatások és eszközök |
| Platform | Microsoft Sentinel általános vagy keretrendszerösszetevők, felhőinfrastruktúra és platform |
| Biztonság – Egyéb | Egyéb biztonsági termékek és szolgáltatások más egyértelmű kategória nélkül |
| Biztonság – Fenyegetésfelderítés | Fenyegetésfelderítési platformok, hírcsatornák, termékek és szolgáltatások |
| Biztonság – Veszélyforrások elleni védelem | Fenyegetésvédelem, e-mail-védelem, kiterjesztett észlelés és válasz (XDR), valamint végpontvédelmi termékek és szolgáltatások |
| Biztonság – 0 napos biztonsági rés | Speciális megoldások a zéró napi sebezhetőségi támadásokhoz, például a Nobeliumhoz |
| Biztonság – Automatizálás (SOAR) | Biztonsági automatizálások, SOAR (biztonsági műveletek és automatizált válaszok), biztonsági műveletek, incidenskezelési termékek és szolgáltatások. |
| Biztonság – Felhőbiztonság | CASB (Cloud Access Service Broker), CWPP (felhőbeli számítási feladatok védelmi platformjai), CSPM (Felhőbiztonsági helyzet kezelése és egyéb felhőbiztonsági termékek és szolgáltatások |
| Biztonság – Információvédelem | Információvédelem és dokumentumvédelmi termékek és szolgáltatások |
| Biztonság – Insider Threat | Insider threat and user and entity behavioral analytics (UEBA) biztonsági termékekhez és szolgáltatásokhoz |
| Biztonság – Hálózat | Biztonsági hálózati eszközök, tűzfal, NDR (hálózatészlelés és -válasz), NIDP (hálózati behatolás és észlelés megelőzése) és hálózati csomagrögzítés |
| Biztonság – Biztonsági rések kezelése | Biztonságirés-kezelési termékek és -szolgáltatások |
| Tárolás | Fájltárolók és fájlmegosztási termékek és szolgáltatások |
| Oktatás és oktatóanyagok | Betanítások, oktatóanyagok és előkészítési eszközök |
| Felhasználói viselkedés (UEBA) | Felhasználói viselkedéselemzési termékek és szolgáltatások |
Iparági vertikális kategóriák
| Kategória neve | Leírás |
|---|---|
| Repülés | A repüléstechnika ágazatra jellemző termékek, szolgáltatások és tartalom |
| Oktatás | Az oktatási ágazatra jellemző termékek, szolgáltatások és tartalom |
| Pénzügyi | A pénzügyi ágazatra jellemző termékek, szolgáltatások és tartalom |
| Egészségügy | Az egészségügyi ágazatra jellemző termékek, szolgáltatások és tartalom |
| Gyártóipar | A gyártóiparra jellemző termékek, szolgáltatások és tartalom |
| Kiskereskedelem | A kiskereskedelmi iparágra jellemző termékek, szolgáltatások és tartalom |
A Microsoft Sentinel beépített tartalom- és megoldástámogatási modelljei
A Microsoft és más szervezetek a Microsoft Sentinel beépített tartalmát és megoldásait is megszerkeszik. Minden beépített tartalom vagy megoldás az alábbi támogatási típusok egyikével rendelkezik:
| Támogatási modell | Leírás |
|---|---|
| Microsoft által támogatott | A következőkre vonatkozik: - Olyan tartalom/megoldások, ahol a Microsoft az adatszolgáltató, ahol releváns, és a szerző. – Néhány Microsoft által készített tartalom/megoldás nem Microsoft-adatforrásokhoz. A Microsoft a Microsoft Azure támogatási csomagjaival összhangban támogatja és kezeli a támogatási modell tartalmát/megoldásait. A partnerek vagy a Közösség a Microsofton kívül más felek által készített tartalmakat vagy megoldásokat támogatnak. |
| Partner által támogatott | A Microsofttól eltérő felek által készített tartalmakra/megoldásokra vonatkozik. A partnervállalat támogatást vagy karbantartást biztosít ezekhez a tartalmakhoz/megoldásokhoz. A partnervállalat lehet független szoftverszállító, felügyelt szolgáltató (MSP/MSSP), rendszer integrátor (SI), vagy bármely olyan szervezet, amelynek kapcsolattartási adatait a Microsoft Sentinel oldalán találja a kiválasztott tartalomhoz/megoldásokhoz. Partner által támogatott megoldással kapcsolatos problémák esetén forduljon a megadott támogatási kapcsolattartóhoz. |
| Közösség által támogatott | A Microsoft vagy a partnerfejlesztők által készített tartalmakra vagy megoldásokra vonatkozik, és nem szerepelnek a Microsoft Sentinelben támogatott és karbantartott partnerek. A megoldásokkal kapcsolatos kérdésekért vagy problémákért küldjön egy problémát a Microsoft Sentinel GitHub-közösségben. |
Tartalomforrások a Microsoft Sentinel-tartalmakhoz és -megoldásokhoz
Minden egyes tartalom vagy megoldás a következő tartalomforrások egyikével rendelkezik:
| Tartalomforrás | Leírás |
|---|---|
| Tartalomközpont | Az életciklus-kezelést támogató Content Hub által üzembe helyezett megoldások |
| Standalone | A Tartalomközpont által üzembe helyezett önálló tartalom, amely automatikusan naprakész marad |
| Szokás | A munkaterületen testre szabott tartalom vagy megoldások |
| Katalógus tartalma | A funkciótárak tartalmai, amelyek nem támogatják az életciklus-kezelést. Ez a tartalomforrás hamarosan visszavonul. További információ: OOTB-tartalom központosításának változásai. |
| Tárolók | A munkaterülethez csatlakoztatott adattár tartalma vagy megoldásai |
Következő lépések
A Microsoft Sentinel-munkaterület content hubjáról felderítheti és telepítheti a megoldásokat és az önálló tartalmakat.
További információkért lásd: