Menemukan dan mengelola konten out-of-the-box Microsoft Azure Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Hub Konten Microsoft Sentinel adalah lokasi terpusat Anda untuk menemukan dan mengelola konten out-of-the-box (bawaan). Di sana Anda menemukan solusi paket untuk produk end-to-end menurut domain atau industri. Anda memiliki akses ke sejumlah besar kontribusi mandiri yang dihosting di repositori GitHub dan bilah fitur kami.

  • Temukan solusi dan konten mandiri dengan serangkaian kemampuan pemfilteran yang konsisten berdasarkan status, jenis konten, dukungan, penyedia, dan kategori.

  • Instal konten di ruang kerja Anda sekaligus atau satu per satu.

  • Lihat konten dalam tampilan daftar dan lihat solusi mana yang memiliki pembaruan dengan cepat. Perbarui solusi sekaligus saat konten mandiri diperbarui secara otomatis.

  • Kelola solusi untuk menginstal jenis kontennya dan mendapatkan perubahan terbaru.

  • Konfigurasikan konten mandiri untuk membuat item aktif baru berdasarkan templat terbaru.

Jika Anda adalah mitra yang ingin membuat solusi Anda sendiri, lihat Panduan Pembangunan Solusi Microsoft Azure Sentinel untuk penulisan dan penerbitan solusi.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

Untuk menginstal, memperbarui, dan menghapus konten atau solusi mandiri di hub konten, Anda memerlukan peran Kontributor Microsoft Azure Sentinel di tingkat grup sumber daya.

Untuk informasi selengkapnya tentang peran dan izin lain yang didukung untuk Microsoft Sentinel, lihat Izin di Microsoft Sentinel.

Temukan konten

Hub konten menawarkan cara terbaik untuk menemukan konten baru atau mengelola solusi yang sudah Anda instal.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen konten, pilih Hub konten.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih hub Konten manajemen>Konten Microsoft Sentinel>.

    Halaman Hub konten menampilkan kisi yang dapat dicari atau daftar solusi dan konten mandiri.

  2. Filter daftar yang ditampilkan, baik dengan memilih nilai tertentu dari filter, atau memasukkan bagian mana pun dari nama konten atau deskripsi di bidang Pencarian .

    Untuk informasi lebih lanjut, lihat kategori Microsoft Sentinel dengan konten dan solusi yang siap pakai.

  3. Pilih tampilan Kartu untuk melihat informasi selengkapnya tentang solusi.

    Setiap item konten memperlihatkan kategori yang berlaku untuknya, dan solusi memperlihatkan jenis konten yang disertakan. Misalnya, dalam gambar berikut, solusi Cisco Umbrella mencantumkan salah satu kategorinya sebagai Keamanan - Cloud Security, dan menunjukkan bahwa solusi tersebut mencakup konektor data, aturan analitik, kueri berburu, playbook, dan banyak lagi.

Menginstal atau memperbarui konten

Instal konten dan solusi mandiri satu per satu atau semuanya secara massal. Untuk informasi selengkapnya tentang operasi massal, lihat Menginstal dan memperbarui konten secara massal di bagian berikutnya.

Jika solusi yang Anda sebarkan memiliki pembaruan sejak terakhir kali Anda menyebarkannya, tampilan daftar memperlihatkan Pembaruan di kolom status. Solusi ini juga disertakan dalam jumlah Pembaruan di bagian atas halaman.

Berikut adalah contoh yang menunjukkan penginstalan solusi individual.

  1. Di hub Konten, cari dan pilih solusinya.

  2. Pada panel detail solusi, dari sisi kanan bawah, pilih Tampilkan detail.

  3. Pilih Buat atau Perbarui.

  4. Pada tab Dasar , masukkan langganan, grup sumber daya, dan ruang kerja untuk menyebarkan solusi. Contohnya:

    Cuplikan layar wizard penginstalan solusi, menampilkan tab Dasar-dasar.

  5. Pilih Berikutnya untuk menelusuri tab yang tersisa untuk dipelajari, dan dalam beberapa kasus konfigurasikan, masing-masing komponen konten.

    Tab sesuai dengan konten yang ditawarkan oleh solusi. Solusi yang berbeda mungkin memiliki jenis konten yang berbeda, sehingga Anda mungkin tidak melihat tab yang sama di setiap solusi.

    Anda mungkin juga diminta untuk memasukkan kredensial ke layanan pihak ketiga sehingga Microsoft Sentinel dapat mengautentikasi ke sistem Anda. Misalnya, dengan playbook, Anda mungkin ingin mengambil tindakan respons seperti yang ditentukan dalam sistem Anda.

  6. Di tab Tinjau + buat , tunggu Validation Passed pesan.

  7. Pilih Buat atau Perbarui untuk menyebarkan solusi. Anda juga dapat memilih tautan Unduh templat untuk pengotomatisan guna menyebarkan solusi sebagai kode.

Setiap jenis konten dalam solusi mungkin memerlukan lebih banyak langkah untuk dikonfigurasi. Untuk informasi selengkapnya, lihat Mengaktifkan item konten dalam solusi.

Menginstal dan memperbarui konten secara massal

Hub konten mendukung tampilan daftar selain tampilan kartu default. Pilih tampilan daftar untuk menginstal beberapa solusi dan konten mandiri sekaligus. Konten mandiri tetap diperbarui secara otomatis. Konten aktif atau kustom apa pun yang dibuat berdasarkan solusi atau konten mandiri yang diinstal dari hub konten tetap tidak tersentuh.

  1. Untuk menginstal atau memperbarui item secara massal, ubah ke tampilan daftar.

  2. Cari atau filter untuk menemukan konten yang ingin Anda instal atau perbarui secara massal.

  3. Pilih kotak centang untuk setiap solusi atau konten mandiri yang ingin Anda instal atau perbarui.

  4. Pilih tombol Instal/Perbarui . Cuplikan layar tampilan daftar solusi dengan beberapa solusi dipilih dan sedang berlangsung untuk penginstalan.

    Jika solusi atau konten mandiri yang Anda pilih sudah diinstal atau diperbarui, tidak ada tindakan yang diambil pada item tersebut. Ini tidak mengganggu pembaruan dan penginstalan item lain.

  5. Pilih Kelola untuk setiap solusi yang Anda instal. Tipe konten dalam solusi mungkin memerlukan informasi lebih lanjut untuk Anda konfigurasikan. Untuk informasi selengkapnya, lihat Mengaktifkan item konten dalam solusi.

Mengaktifkan item konten dalam solusi

Kelola item konten secara terpusat untuk solusi yang diinstal dari hub konten.

  1. Di hub konten, pilih solusi yang diinstal dengan versi 2.0.0 atau lebih tinggi.

  2. Pada halaman detail solusi, pilih Kelola.

    Cuplikan layar tombol kelola pada halaman detail solusi hub konten Aktivitas Azure.

  3. Tinjau daftar item konten.

    Cuplikan layar deskripsi solusi dan daftar item konten untuk solusi Aktivitas Azure.

  4. Pilih item konten untuk memulai.

Mengelola setiap tipe konten

Bagian berikut ini memberikan beberapa tips tentang cara bekerja dengan berbagai jenis konten saat Anda mengelola solusi.

Konektor data

Untuk menyambungkan konektor data, selesaikan langkah-langkah konfigurasi.

  1. Pilih Buka laman konektor.

  2. Selesaikan langkah-langkah konfigurasi konektor data.

    Cuplikan layar item konten konektor data untuk solusi Aktivitas Azure tempat status terputus.

    Setelah Anda mengonfigurasi konektor data dan log terdeteksi, status berubah menjadi Koneksi.

Aturan analitik

Buat aturan dari templat atau edit aturan yang sudah ada.

  1. Lihat templat di galeri templat analitik.

  2. Jika templat belum digunakan, pilih Buka>Buat aturan dan ikuti langkah-langkah untuk mengaktifkan aturan analitik.

    Setelah Anda membuat aturan, jumlah aturan aktif yang dibuat dari templat ditampilkan di kolom Konten yang dibuat.

  3. Pilih tautan aturan aktif untuk mengedit aturan yang ada. Misalnya, tautan aturan aktif dalam gambar berikut berada di bawah Konten yang dibuat dan memperlihatkan 2 item.

    Cuplikan layar item konten aturan analitik dalam solusi untuk Aktivitas Azure.

Kueri berburu

Jalankan kueri berburu yang disediakan atau sesuaikan.

  1. Untuk segera mulai mencari, pilih Jalankan kueri dari halaman detail untuk hasil cepat.

    Cuplikan layar item konten kueri berburu kloning dalam solusi untuk Aktivitas Azure.

  2. Untuk mengkustomisasi kueri berburu Anda, pilih tautan di kolom Nama konten.

    Dari galeri berburu, Anda dapat membuat klon templat kueri berburu baca-saja dengan masuk ke menu elipsis. Kueri berburu yang dibuat dengan cara ini ditampilkan sebagai item di hub konten Kolom konten yang dibuat.

Workbook

Untuk mengkustomisasi buku kerja yang dibuat dari templat, buat instans buku kerja.

  1. Pilih Tampilkan templat untuk membuka buku kerja dan melihat visualisasi.

  2. Pilih Simpan untuk membuat instans templat buku kerja.

  3. Tampilkan buku kerja yang dapat dikustomisasi dengan memilih Tampilkan buku kerja yang disimpan.

  4. Dari hub konten, pilih tautan 1 item di kolom Konten yang dibuat untuk mengelola buku kerja.

    Cuplikan layar item buku kerja tersimpan dalam solusi untuk Aktivitas Azure.

Pengurai

Saat solusi diinstal, pengurai apa pun yang disertakan ditambahkan sebagai fungsi ruang kerja di Analitik Log.

  1. Pilih Muat kode fungsi untuk membuka Analitik Log dan melihat atau menjalankan kode fungsi.

  2. Pilih Gunakan di editor untuk membuka Analitik Log dengan nama pengurai yang siap ditambahkan ke kueri kustom Anda.

    Cuplikan layar jenis konten pengurai dalam solusi.

Playbook

Buat playbook dari templat.

  1. Pilih tautan Nama konten playbook.

  2. Pilih templat dan pilih Buat playbook.

  3. Setelah playbook dibuat, playbook aktif ditampilkan di kolom Konten yang dibuat.

  4. Pilih tautan item playbook 1 aktif untuk mengelola playbook.

    Cuplikan layar jenis konten jenis playbook dalam solusi.

Menemukan model dukungan untuk konten Anda

Setiap solusi dan item konten mandiri menjelaskan model dukungannya pada panel detailnya, di kotak Dukungan , tempat Nama Microsoft atau mitra tercantum. Contohnya:

Cuplikan layar tempat Anda dapat menemukan model dukungan untuk solusi Anda.

Saat menghubungi dukungan, Anda mungkin memerlukan detail lain tentang solusi Anda, seperti penerbit, penyedia, dan nilai ID paket. Temukan informasi ini di halaman detail di tab Informasi penggunaan &dukungan .

Cuplikan layar detail penggunaan dan dukungan untuk solusi.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara menemukan dan menyebarkan solusi bawaan dan konten mandiri untuk Microsoft Sentinel.

Banyak solusi termasuk konektor data yang perlu Anda konfigurasi sehingga Anda dapat mulai menyerap data Anda ke Microsoft Azure Sentinel. Setiap konektor data memiliki serangkaian persyaratannya sendiri yang dirinci pada halaman konektor data di Microsoft Azure Sentinel.

Untuk informasi selengkapnya, lihat Menyambungkan sumber data Anda.