Modifiche alla centralizzazione dei contenuti predefinite di Microsoft Sentinel
L'hub del contenuto di Microsoft Sentinel consente l'individuazione e l'installazione su richiesta di contenuti e soluzioni predefiniti (OOTB) in un unico passaggio. In precedenza, alcuni di questi contenuti OOTB esistevano solo in varie sezioni della raccolta di Microsoft Sentinel. Ora, tutti i modelli di contenuto della raccolta seguenti sono disponibili nell'hub del contenuto come elementi autonomi o come parte delle soluzioni in pacchetto:
- Connettori di dati
- Modelli di regole di analisi
- Query di ricerca
- Modelli di playbook
- Modelli di cartella di lavoro
Modifiche all'hub del contenuto
Per centralizzare tutto il contenuto OOTB, sono stati ritirati i modelli di contenuto solo raccolta. I modelli di contenuto della raccolta legacy non vengono più aggiornati in modo coerente e l'hub del contenuto è la posizione in cui il contenuto OOTB rimane aggiornato. L'hub contenuto fornisce anche flussi di lavoro aggiornati per soluzioni e aggiornamenti automatici per il contenuto autonomo.
Per facilitare questa transizione, è stato pubblicato uno strumento centrale per reinserire in U edizione Standard modelli ritirati dalle soluzioni dell'hub del contenuto corrispondenti.
Reinserire in U edizione Standard modelli ritirati con lo strumento centrale
Ora che le modifiche alla centralizzazione dell'hub del contenuto sono state completate, ecco una panoramica di come completare il processo di reinserimento dello strumento centrale.
Selezionare il collegamento nel banner di avviso per reinserire in U edizione Standard modelli di contenuto di sola raccolta ritirati.
Questo screenshot mostra un esempio del banner di avviso trovato nella raccolta Workbooks .
Selezionare il collegamento e leggere attentamente la pagina.
Selezionare Continua ed esaminare l'elenco dei contenuti generati dallo strumento.
Selezionare Completa centralizzazione per avviare l'installazione. La selezione è fissa e non può essere modificata.
Modifica della pagina del connettore dati
Tutti i connettori dati fanno ora parte di una soluzione. In precedenza, per alzare di livello le visualizzazioni del dashboard (ora denominate cartelle di lavoro) e fornire query KQL di esempio, sono stati inclusi alcuni di questi elementi in una scheda Passaggi successivi della pagina del connettore dati. È stata deprecata la parte Passaggi successivi della pagina del connettore dati a favore del nuovo comportamento del contenuto della soluzione in cui tutti i componenti della soluzione vengono gestiti insieme al connettore dati.
La chiave per sperimentare il comportamento aggiornato consiste nell'iniziare nell'hub del contenuto. Per un confronto del comportamento precedente con la nuova esperienza, esaminare il connettore dati attività di Azure. Dopo aver installato la soluzione dall'hub del contenuto e aver selezionato Gestisci, l'intera soluzione è disponibile per l'ispezione. Per visualizzare il connettore dati attività di Azure, visualizzare il modello per la cartella di lavoro. Per visualizzare le query KQL, iniziare con la tabella dati. Per le query avanzate, esaminare le regole di analisi e le query di ricerca.
Per altre informazioni sul comportamento del contenuto della nuova soluzione, vedere Individuare e distribuire il contenuto OOTB.
Se è presente una query di esempio specifica per un connettore dati di terze parti che si sta cercando, le pubblicheremo comunque nell'indice Tutti i connettori . Ecco ad esempio le query di esempio per il connettore Jamf Protect.
Modifiche a GitHub di Microsoft Sentinel
Microsoft Sentinel ha un repository GitHub ufficiale per i contributi della community controllati da Microsoft e dalla community. È l'origine per la maggior parte degli elementi di contenuto nell'hub del contenuto.
Per un'individuazione coerente di questo contenuto, le modifiche alla centralizzazione del contenuto OOTB sono già state estese al repository GitHub di Microsoft Sentinel:
- Tutto il contenuto OOTB incluso nelle soluzioni dell'hub del contenuto è ora archiviato nella cartella Soluzioni del repository GitHub.
- Tutti gli elementi di contenuto OOTB autonomi rimarranno nelle rispettive posizioni.
Queste modifiche all'hub del contenuto e al repository GitHub di Microsoft Sentinel completeranno il percorso verso la centralizzazione del contenuto di Microsoft Sentinel.
Quando arriverà questa modifica?
Le modifiche di centralizzazione sono state rilasciate. Le modifiche di GitHub di Microsoft Sentinel sono già state apportate. Il contenuto autonomo è disponibile nelle cartelle GitHub esistenti e il contenuto della soluzione è stato spostato nella cartella Soluzioni .
La modifica alla scheda Passaggi successivi è già stata completata.
Ambito della modifica
Questa modifica ha come ambito solo il tipo di contenuto della raccolta di modelli. Tutti questi stessi modelli e altro contenuto OOTB sono disponibili nell'hub del contenuto come soluzioni o contenuto autonomo.
Per il repository GitHub di Microsoft Sentinel, il contenuto OOTB incluso nelle soluzioni nell'hub contenuto è ora elencato solo nella cartella Soluzioni del repository GitHub. L'altro contenuto GitHub esistente ha come ambito le cartelle seguenti e contiene solo elementi di contenuto autonomi. Il contenuto nelle cartelle GitHub rimanenti non menzionate in questo elenco non include modifiche.
- Cartella Data Connessione ors
- Cartella Rilevamenti (regole di analisi)
- Cartella Query di ricerca
- Cartella Parsers
- Cartella Playbook
- Cartella cartelle di lavoro
Cosa non cambia?
Questa modifica non influisce sugli elementi attivi o personalizzati (creati da modelli o in altro modo). In particolare, questa modifica non influisce sugli elementi seguenti:
- Connettori dati con stato = Connessione ed.
- Regole di avviso o rilevamenti (abilitati o disabilitati) nella scheda Regole attive della raccolta di analisi.
- Cartelle di lavoro salvate nella scheda Cartelle di lavoro personali della raccolta cartelle di lavoro.
- Contenuto clonato o Origine contenuto = Personalizzata nella raccolta di ricerca.
- Playbook attivi (abilitati o disabilitati) nella scheda Playbook attivi nella raccolta di automazione.
Questa modifica non influisce anche sui modelli di contenuto OOTB installati dall'hub del contenuto (identificabile come Hub contenuto di origine = contenuto).
Modifiche introdotte
Tutte le raccolte di modelli ora visualizzano un banner di avviso nel prodotto. Questo banner contiene un collegamento a uno strumento che verrà eseguito all'interno del portale di Microsoft Sentinel. L'attivazione dello strumento avvia un'esperienza guidata per ripristinare i modelli di contenuto per IN U edizione Standard modelli ritirati dall'hub del contenuto.
Questo strumento deve essere eseguito una sola volta per ogni area di lavoro, quindi assicurarsi di pianificare con l'organizzazione. Al termine dell'esecuzione dello strumento, il banner di avviso scomparirà dalle raccolte di modelli dell'area di lavoro.
Nella tabella seguente sono elencati gli effetti specifici dei modelli di contenuto per ognuna di queste raccolte. Aspettatevi che queste modifiche ora che la centralizzazione del contenuto OOTB sia attiva.
| Content type | Impatto |
|---|---|
| Connettori dati | I modelli identificabili come = contenuto della raccolta di origini contenuto e Stato = Non connesso non verranno più visualizzati nella raccolta dei connettori dati. |
| Analisi | I modelli identificabili come contenuto della raccolta dei nomi = di origine non verranno più visualizzati nella raccolta di analisi. |
| Caccia | I modelli con = contenuto raccolta origine contenuto non verranno più visualizzati nella raccolta di ricerca. |
| Playbook | I modelli identificabili come contenuto della raccolta dei nomi = di origine non verranno più visualizzati nella raccolta playbook di automazione. |
| Cartelle di lavoro | I modelli con = contenuto raccolta origine contenuto non verranno più visualizzati nella raccolta cartelle di lavoro. |
Ecco un esempio di regola di analisi prima e dopo le modifiche alla centralizzazione e lo strumento è stato eseguito:
La regola di analisi attiva non cambia affatto. Si basa su un modello di regola di analisi che verrà ritirato.
Questo screenshot mostra un modello di regola di analisi che verrà ritirato.
Dopo aver eseguito lo strumento per ripristinare il modello di regola di analisi, l'origine passa alla soluzione da cui viene ripristinato.
Azione necessaria
- Installare il nuovo contenuto OOTB dall'hub del contenuto e aggiornare le soluzioni in base alle esigenze per avere le versioni più recenti dei modelli.
- Per i modelli di contenuto della raccolta esistenti in uso, ottenere aggiornamenti futuri installando le soluzioni o gli elementi di contenuto autonomi dall'hub del contenuto. Il contenuto della raccolta nelle raccolte di funzionalità potrebbe non essere aggiornato.
- Se sono presenti applicazioni o processi che ottengono direttamente il contenuto OOTB dal repository GitHub di Microsoft Sentinel, aggiornare i percorsi per includere il recupero di contenuto OOTB dalla cartella Soluzioni oltre alle cartelle di contenuto esistenti.
- Pianificare con l'organizzazione che eseguirà lo strumento e quando, ora che il banner di avviso e le modifiche sono attive. Lo strumento deve essere eseguito una sola volta in un'area di lavoro per ripristinare tutti i modelli IN U edizione Standard ritirati dall'hub del contenuto.
- Per altre informazioni dettagliate applicabili all'ambiente, vedere le domande frequenti seguenti.
Domande frequenti sulla centralizzazione del contenuto
Questa modifica influisce sulla generazione e sulla gestione degli avvisi SOC?
Nr. Non c'è alcun impatto sulle regole di avviso o i rilevamenti attivi, i playbook attivi, le query di ricerca clonate o le cartelle di lavoro salvate. La modifica di centralizzazione del contenuto OOTB non influisce sui processi di generazione e gestione degli eventi imprevisti correnti.
Esistono eccezioni per il contenuto della raccolta?
Sì. I tipi seguenti di modelli di regole di analisi sono esentati da questa modifica:
- Modelli di regole anomalie
- Modelli di regola Fusion
- Modelli di regole di Machine Learning Behavior Analytics (Machine Learning)
- Modelli di regole di sicurezza Microsoft (creazione di eventi imprevisti)
- Modelli di regole di Intelligence per le minacce
Questa modifica influirà su una delle API?
Sì. Attualmente, le uniche chiamate API REST di Microsoft Sentinel esistenti per la gestione dei modelli di contenuto sono le operazioni e List per i Get modelli di regole di avviso. Queste operazioni eserebbero solo modelli di contenuto della raccolta di superficie e non verranno aggiornati. Per altre informazioni su queste operazioni, vedere le informazioni di riferimento sull'API REST dei modelli di regola di avviso correnti.
Le nuove operazioni dell'API REST nell'hub contenuto saranno presto disponibili per abilitare scenari di gestione dei contenuti OOTB in modo più ampio. Questo aggiornamento dell'API includerà operazioni per gli stessi tipi di contenuto con ambito nelle modifiche di centralizzazione (connettori dati, modelli di playbook, modelli di cartelle di lavoro, modelli di regole di analisi, query di ricerca). Un meccanismo per aggiornare i modelli di regola di analisi installati nell'area di lavoro è disponibile anche nella roadmap.
Azione necessaria: pianificare l'aggiornamento delle applicazioni e dei processi per usare le nuove operazioni api di gestione dei contenuti OOTB nell'hub del contenuto quando sono disponibili. Originariamente abbiamo espresso questo sarebbe disponibile Q2 2023, ma non sono ancora pronti.
In che modo lo strumento centrale identifica i modelli di contenuto OOTB in uso?
Lo strumento compila un elenco di soluzioni in base a due criteri: connettori dati con Stato = Connessione ed e IN U edizione Standard modelli di playbook. Dopo che lo strumento compila l'elenco proposto di soluzioni, presenterà l'elenco per l'approvazione. Se l'elenco viene approvato, lo strumento installa tutte queste soluzioni. Poiché il contenuto OOTB viene reintegrato in base alle soluzioni, è possibile ottenere più modelli di quelli effettivamente usati.
Questo strumento centrale è un'operazione ottimale per ottenere i modelli di contenuto OOTB in U edizione Standard ripristinati dall'hub del contenuto. È possibile installare il contenuto OOTB omesso direttamente dall'hub del contenuto.
Cosa accade se si usano le API per connettere le origini dati nell'area di lavoro di Microsoft Sentinel?
Attualmente, se una connessione dati API corrisponde al tipo di dati del connettore dati, verrà visualizzata come Status = Connessione ed nella raccolta dei connettori dati. Dopo che le modifiche alla centralizzazione diventano attive, è necessario installare il connettore dati specifico da una rispettiva soluzione per ottenere lo stesso comportamento.
Azione necessaria: pianificare l'aggiornamento di processi o strumenti per le distribuzioni del connettore dati da installare dalle soluzioni dell'hub del contenuto prima di connettersi con le API di inserimento dati. L'operatore API REST per l'installazione di una soluzione sarà disponibile nel secondo trimestre 2023 con le API di gestione dei contenuti OOTB.
Cosa accade se si usa il contenuto usando la funzionalità repository in Microsoft Sentinel?
I repository distribuiscono in modo specifico contenuto personalizzato o attivo in Microsoft Sentinel. Le modifiche alla centralizzazione del contenuto OOTB non influiscono sul contenuto distribuito tramite la funzionalità dei repository.
Ciò influisce sui gruppi di distribuzione in Gestione aree di lavoro?
Proprio come i repository, il responsabile dell'area di lavoro distribuisce solo contenuto personalizzato o attivo, quindi le modifiche di centralizzazione del contenuto OOTB non influiscono sul contenuto distribuito tramite gestione dell'area di lavoro.
Passaggi successivi
Esaminare queste altre risorse per il contenuto OOTB e l'hub del contenuto:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per