Informazioni sui contenuti e le soluzioni di Microsoft Sentinel
Il contenuto di Microsoft Sentinel è costituito da componenti della soluzione SIEM (Security Information and Event Management) che consentono ai clienti di inserire dati, monitorare, inviare avvisi, cercare, analizzare, rispondere e connettersi a diversi prodotti, piattaforme e servizi.
Il contenuto in Microsoft Sentinel include uno dei tipi seguenti:
- I connettori dati forniscono l'inserimento di log da origini diverse in Microsoft Sentinel
- I parser forniscono formattazione/trasformazione dei log in formati ASIM (Advanced Security Information Model), supportando l'utilizzo in vari scenari e tipi di contenuto di Microsoft Sentinel
- Le cartelle di lavoro forniscono monitoraggio, visualizzazione e interattività con i dati in Microsoft Sentinel, evidenziando informazioni dettagliate significative per gli utenti
- Le regole di analisi forniscono avvisi che puntano alle azioni SOC pertinenti tramite eventi imprevisti
- Le query di ricerca vengono usate dai team SOC per cercare in modo proattivo le minacce in Microsoft Sentinel
- I Notebook consentono ai team SOC di usare funzionalità di ricerca avanzate in Jupyter e Azure Notebooks
- Gli watchlist supportano l'inserimento di dati specifici per il rilevamento avanzato delle minacce e la riduzione dell'affaticamento degli avvisi
- I playbook e i connettori personalizzati App per la logica di Azure offrono funzionalità per scenari automatizzati di analisi, correzione e risposta in Microsoft Sentinel
Microsoft Sentinel offre questi tipi di contenuto come soluzioni ed elementi autonomi . Le soluzioni sono pacchetti di contenuti di Microsoft Sentinel o integrazioni api di Microsoft Sentinel, che soddisfano uno scenario end-to-end di prodotto, dominio o verticale del settore in Microsoft Sentinel. Sia le soluzioni che gli elementi autonomi sono individuabili e gestiti dall'hub contenuto.
È possibile personalizzare i contenuti predefiniti (OOTB) per le proprie esigenze oppure creare una soluzione personalizzata con il contenuto da condividere con altri utenti della community. Per altre informazioni, vedere la Guida alla compilazione e alla pubblicazione delle soluzioni di Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Individuare e gestire il contenuto di Microsoft Sentinel
Usare l'hub del contenuto di Microsoft Sentinel per individuare e installare centralmente il contenuto esistente (OOTB).
L'hub del contenuto di Microsoft Sentinel offre funzionalità di individuazione dei prodotti, distribuzione in un unico passaggio e abilitazione di soluzioni end-to-end di prodotti, domini e/o contenuti OOTB verticali in Microsoft Sentinel.
Filtrare in base alle categorie e ad altri parametri oppure usare la potente ricerca di testo per trovare il contenuto più adatto alle esigenze dell'organizzazione.
L'hubcontenuto indica anche il modello di supporto applicato a ogni parte di contenuto, poiché alcuni contenuti vengono gestiti da Microsoft e altri vengono gestiti dai partner o dalla community.
Gestire gli aggiornamenti per il contenuto esistente nell'hub contenuto. In alternativa, per il contenuto personalizzato, gestire gli aggiornamenti dalla pagina Repository . Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.
Personalizzare i contenuti predefiniti per le proprie esigenze o creare contenuto personalizzato, tra cui regole di analisi, query di ricerca, notebook, cartelle di lavoro e altro ancora.
Gestire il contenuto personalizzato direttamente nell'area di lavoro di Microsoft Sentinel usando l'API di Microsoft Sentinel o dal proprio repository di controllo del codice sorgente. Per altre informazioni, vedere API di Microsoft Sentinel e Distribuire contenuto personalizzato dal repository.
Perché le soluzioni dell'hub del contenuto?
Le soluzioni di Microsoft Sentinel sono integrazioni in pacchetto che offrono un valore di prodotto end-to-end per uno o più scenari di dominio o verticale nell'hub del contenuto.
L'esperienza delle soluzioni, basata su Azure Marketplace, consente di individuare e distribuire il contenuto desiderato. Per altre informazioni sulla creazione e la pubblicazione di soluzioni in Azure Marketplace, vedere la Guida alla compilazione delle soluzioni di Microsoft Sentinel.
I contenuti in pacchetto sono raccolte di uno o più componenti del contenuto di Microsoft Sentinel, ad esempio connettori dati, cartelle di lavoro, regole di analisi, playbook, query di ricerca, watchlist, parser e altro ancora.
Le Integrazioni includono servizi o strumenti creati usando Microsoft Sentinel o le API di Azure Log Analytics che supportano le integrazioni tra Azure e le applicazioni esistenti dei clienti oppure eseguono la migrazione di dati, query e altro ancora, da tali applicazioni a Microsoft Sentinel.
È anche possibile usare soluzioni per installare pacchetti di contenuti predefiniti (OOTB) in un unico passaggio, in cui il contenuto è spesso pronto per l'uso immediato. I provider e i partner usano soluzioni Sentinel per aggiungere valore agli investimenti dei clienti offrendo valore combinato di prodotto, dominio o valore verticale.
Usare l'hub del contenuto per individuare e distribuire centralmente soluzioni e contenuti OOTB in modo basato su scenari.
Per altre informazioni, vedi:
- Individuare e distribuire centralmente contenuti e soluzioni predefiniti di Microsoft Sentinel
- Catalogo delle soluzioni di Microsoft Sentinel in Azure Marketplace
- Catalogo di Microsoft Sentinel
Categorie per i contenuti e le soluzioni predefiniti di Microsoft Sentinel
I contenuti predefiniti di Microsoft Sentinel possono essere applicati con una o più delle categorie seguenti. Nell'hub contenuto selezionare le categorie da visualizzare per modificare il contenuto visualizzato. È possibile individuare gli elementi recapitati dalla community centralmente nell'hub contenuto come contenuto autonomo o soluzioni.
Categorie di dominio
| Nome categoria | Descrizione |
|---|---|
| Applicazione | Carico di lavoro Web, basato su server, SaaS, database, comunicazioni o produttività |
| Provider di servizi cloud | Servizio cloud |
| Conformità | Prodotti, servizi e protocolli di conformità |
| DevOps | Strumenti e servizi per le operazioni di sviluppo |
| Identità | Integrazioni e provider di servizi di identità |
| internet delle cose (IoT) | Dispositivi IoT, tecnologia operativa (OT) e infrastruttura, servizi di controllo industriale |
| Operazioni IT | Prodotti e servizi che gestiscono l'IT |
| Migrazione | Prodotti, servizi e abilitazione della migrazione |
| Networking | Prodotti, servizi e strumenti di rete |
| Piattaforma | Componenti generici o framework di Microsoft Sentinel, infrastruttura cloud e piattaforma |
| Sicurezza - Altri utenti | Altri prodotti e servizi di sicurezza senza altre categorie chiare |
| Sicurezza - Intelligence per le minacce | Piattaforme di intelligence sulle minacce, feed, prodotti e servizi |
| Sicurezza - Protezione dalle minacce | Protezione dalle minacce, protezione della posta elettronica, rilevamento esteso e risposta (XDR) e prodotti e servizi di Endpoint Protection |
| Sicurezza - Vulnerabilità di 0 giorni | Soluzioni specializzate per attacchi di vulnerabilità zero-day come Nobelium |
| Sicurezza - Automazione (SOAR) | Automazione della sicurezza, SOAR (operazioni di sicurezza e risposte automatizzate), operazioni di sicurezza e prodotti e servizi di risposta agli eventi imprevisti. |
| Sicurezza - Sicurezza cloud | CASB (Cloud Access Service Broker), CWPP (piattaforme di protezione del carico di lavoro cloud), CSPM (gestione del comportamento di sicurezza cloud e altri prodotti e servizi cloud Security) |
| Sicurezza - Information Protection | Protezione delle informazioni e prodotti e servizi di protezione dei documenti |
| Sicurezza - Minaccia Insider | Analisi del comportamento dell'utente e dell'entità Insider per prodotti e servizi di sicurezza |
| Sicurezza - Rete | Dispositivi di rete di sicurezza, firewall, NDR (rilevamento e risposta di rete), NIDP (prevenzione delle intrusioni e rilevamento della rete) e acquisizione di pacchetti di rete |
| Sicurezza - Gestione delle vulnerabilità | Prodotti e servizi di gestione delle vulnerabilità |
| Storage | Archivi file e prodotti e servizi di condivisione file |
| Training ed esercitazioni | Training, esercitazioni e asset di onboarding |
| Comportamento utente (UEBA) | Prodotti e servizi di analisi del comportamento degli utenti |
Categorie verticali del settore
| Nome categoria | Descrizione |
|---|---|
| Aeronautica | Prodotti, servizi e contenuti specifici per l'industria aeronautica |
| Percorso formativo | Prodotti, servizi e contenuti specifici per il settore dell'istruzione |
| Dati finanziari | Prodotti, servizi e contenuti specifici per il settore finanziario |
| Assistenza sanitaria | Prodotti, servizi e contenuti specifici per il settore sanitario |
| Produzione | Prodotti, servizi e contenuti specifici per il settore manifatturiero |
| Vendita al dettaglio | Prodotti, servizi e contenuti specifici per il settore delle vendite al dettaglio |
Modelli di supporto per i contenuti e le soluzioni predefiniti di Microsoft Sentinel
Sia Microsoft che altre organizzazioni creano soluzioni e contenuti predefiniti di Microsoft Sentinel. Ogni parte del contenuto o della soluzione predefinita include uno dei tipi di supporto seguenti:
| Modello di supporto | Descrizione |
|---|---|
| Microsoft supportato | Si applica a: - Contenuto/soluzioni in cui Microsoft è il provider di dati, dove pertinente e autore. - Alcuni contenuti o soluzioni creati da Microsoft per origini dati non Microsoft. Microsoft supporta e gestisce contenuti/soluzioni in questo modello di supporto in base ai piani di supporto di Microsoft Azure. Partner o soluzioni di supporto della community create da qualsiasi parte diversa da Microsoft. |
| Supporto per i partner | Si applica ai contenuti o alle soluzioni create da parti diverse da Microsoft. L'azienda partner fornisce supporto o manutenzione per queste parti di contenuto/soluzioni. La società partner può essere un fornitore di software indipendente, un provider di servizi gestiti (MSP/MSSP), un integratore di sistemi (SI) o qualsiasi organizzazione le cui informazioni di contatto vengono fornite nella pagina di Microsoft Sentinel per il contenuto/soluzioni selezionati. Per eventuali problemi relativi a una soluzione supportata dal partner, contattare il contatto di supporto specificato. |
| Supportato dalla community | Si applica ai contenuti o alle soluzioni create dagli sviluppatori Microsoft o partner senza i contatti elencati per il supporto e la manutenzione in Microsoft Sentinel. Per domande o problemi relativi a queste soluzioni, segnalare un problema nella community GitHub di Microsoft Sentinel. |
Origini di contenuto per il contenuto e le soluzioni di Microsoft Sentinel
Ogni parte di contenuto o soluzione ha una delle origini di contenuto seguenti:
| Origine contenuto | Descrizione |
|---|---|
| Hub contenuto | Soluzioni distribuite dall'hub contenuto che supportano la gestione del ciclo di vita |
| Autonomo | Contenuto autonomo distribuito dall'hub contenuto che viene mantenuto aggiornato automaticamente |
| Personalizzazione | Contenuto o soluzioni personalizzate nell'area di lavoro |
| Contenuto della raccolta | Contenuto delle raccolte di funzionalità che non supportano la gestione del ciclo di vita. Questa origine contenuto verrà ritirato a breve. Per altre informazioni, vedere Modifiche alla centralizzazione del contenuto OOTB. |
| Repository | Contenuto o soluzioni da un repository connesso all'area di lavoro |
Passaggi successivi
Individuare e installare soluzioni e contenuti autonomi dall'hub contenuto nell'area di lavoro di Microsoft Sentinel.
Per altre informazioni, vedi:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per