Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel SIEM e la piattaforma includono una gamma di funzionalità che i partner possono usare per creare soluzioni di impatto che possono pubblicare tramite Microsoft Security Store o l'hub contenuti SIEM Sentinel. Basandosi su Sentinel, i partner possono abilitare nuovi scenari che usano un'ampia gamma di dati di sicurezza, funzionalità di elaborazione ed esperienze di intelligenza artificiale, senza la necessità di nuove pipeline, funzionalità di elaborazione o infrastruttura di archiviazione.
Ad esempio, è possibile creare un connettore per inserire nuovi dati in Sentinel, analizzarli con Sentinel processi notebook di Jupyter e creare un agente che usa gli strumenti MCP per analizzare i nuovi dati insieme ad altri dati già presenti nel lake. L'agente può quindi interagire con altri endpoint e applicazioni esterne per offrire ai clienti un'esperienza unificata efficace.
Informazioni su Microsoft Sentinel
Per iniziare, informazioni su Microsoft Sentinel, identificare i dati e le funzionalità da creare e trovare le risorse che consentono di ottenere informazioni sulle diverse funzionalità che consentono di creare soluzioni che garantiscono la sicurezza dei clienti.
| Passaggio | Descrizione |
|---|---|
| Informazioni su Sentinel | La piattaforma Sentinel include un data lake, un grafo e un server MCP. SIEM è un'applicazione siem (Security Information and Event Management) scalabile nativa del cloud che offre una soluzione intelligente e completa per l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR). Offre rilevamento, analisi, risposta e ricerca proattiva di minacce informatiche, con una visione a volo d'occhio in tutta l'azienda. Le funzionalità data lake, graph e MCP offrono agli sviluppatori la possibilità di creare soluzioni in grado di usare strumenti dal server MCP (Model Context Protocol) di Sentinel per estrarre informazioni dettagliate da qualsiasi Sentinel dati. Per altre informazioni, vedere: Che cos'è Microsoft Sentinel? |
| Identificare gli elementi da compilare | Il passaggio più importante per un'integrazione ottimale consiste nel decidere quali tipi di contenuto includere nella soluzione. Esplorare le risorse seguenti per comprendere Microsoft Sentinel. Per altre informazioni, vedere: Scenari di integrazione della tecnologia con Microsoft Sentinel Compilazione di integrazioni Microsoft Sentinel - Parte 1: Onboarding |
| Esaminare la documentazione | È disponibile una ricca raccolta di documentazione da supportare con il percorso. Ecco alcune risorse chiave per iniziare. Per altre informazioni, vedere: Guida per comprendere Microsoft Sentinel repository di soluzioni in GitHub Guida per comprendere lo schema ASIM (Advanced Security Information Model) Guida per comprendere il linguaggio di query Kusto |
| Diventare cloud partner e creare un account di pubblicazione | Microsoft Sentinel soluzioni vengono pubblicate nel marketplace commerciale Azure. Per pubblicare nel marketplace, partecipare al programma cloud partner. Per altre informazioni, vedere: Guida per comprendere il marketplace commerciale Microsoft Guida alla creazione di un account marketplace commerciale nel Centro per i partner Microsoft Partecipare al programma ISV Success Iscriversi al programma Microsoft for Startups, se applicabile |
Creare la soluzione
Una volta che si ha una buona conoscenza di Microsoft Sentinel e la soluzione che si vuole creare.
| Passaggio | Descrizione |
|---|---|
| Ambiente di provisioning | Per iniziare a creare e testare la soluzione, è consigliabile iscriversi per una versione di valutazione gratuita Azure e una versione di valutazione gratuita Microsoft Sentinel. Per altre informazioni, vedere: Iscriversi per una versione di valutazione gratuita Azure Quindi iscriversi per una versione di valutazione gratuita Microsoft Sentinel (scorrere verso il basso fino a 'Versione di valutazione gratuita') |
| Completare il lab di training | È consigliabile che il lab di formazione sia completamente aggiornato con Microsoft Sentinel. Questo lab offre un'esperienza pratica pratica per funzionalità, funzionalità e scenari del prodotto. Per altre informazioni, vedere: Completare il Microsoft Sentinel Training Lab |
| Creare un connettore | Microsoft Sentinel si basa sui dati. La maggior parte delle soluzioni inizia con l'inserimento dei dati dall'ambiente di un cliente in Microsoft Sentinel. Per informazioni su come creare un connettore, vedere le risorse seguenti. Per altre informazioni, vedere: Guida alla creazione di esperienze dati Microsoft Sentinel Webinar: Creazione di connettori dati |
| Compilare il contenuto SIEM | Oltre ai dati, la soluzione può offrire una vasta gamma di altri componenti per aiutare i clienti a ottenere il massimo dai dati. Ad esempio, è possibile offrire rilevamenti, cartelle di lavoro, playbook e query di ricerca per rendere l'offerta facilmente utilizzabile dai clienti. Per altre informazioni, vedere: Cosa puoi contribuire e come puoi creare contributi? |
| Creare processi di jupyter notebook e agenti di Security Copilot | Security Copilot agenti e Sentinel processi data lake consentono di creare soluzioni avanzate che possono ragionare sui dati nel data lake Sentinel e identificare le minacce e le informazioni dettagliate sulla superficie. Le risorse seguenti illustrano come usare tali funzionalità. Introduzione a Microsoft Security Copilot Creare e gestire processi notebook di Jupyter Esecuzione di notebook nel data lake Microsoft Sentinel |
| Uso dell'intelligenza artificiale con Sentinel data lake | il data lake di sicurezza di Microsoft Sentinel unifica la conservazione a lungo termine e conveniente con un contesto ricco e specifico della sicurezza. Questa base si associa naturalmente agli strumenti MCP (Model Context Protocol) e Microsoft Copilot per la sicurezza per distribuire flussi di lavoro agentic (tool-using, goal-directed) per i team di Security Operations Center (SOC). Per altre informazioni, vedere: Che cos'è MCP? documentazione Microsoft Security Copilot |
| Sicurezza, privacy e conformità | Per informazioni dettagliate sui requisiti di Secure Future Initiative (SFI), vedere https://aka.ms/securefutureinitiative Seguire le procedure SDL (Security Development Lifecycle) per: - Modellazione delle minacce - Configurazione sicura - Igiene delle dipendenze - Test di penetrazione in coordinamento con il team di sicurezza - Usare solo strumenti approvati per il rilevamento delle vulnerabilità e la gestione delle patch. Per altre informazioni, vedere Ciclo di vita dello sviluppo della sicurezza Microsoft |
Testare la soluzione
Dopo aver creato la soluzione, è necessario testarla per assicurarsi che soddisfi gli standard qualitativi ed è pronta per la pubblicazione. Il personale di progettazione Microsoft Sentinel esamina la soluzione e fornisce commenti e suggerimenti.
| Passaggio | Descrizione |
|---|---|
| Microsoft unisce le richieste pull & genera il pacchetto | Al termine di tutti i commenti tecnici, Microsoft Sentinel personale tecnico unisce la richiesta pull nel ramo principale e genera il pacchetto finale da inviare con l'offerta. |
| Inviare una richiesta pull per il contenuto SIEM per ottenere commenti e suggerimenti e ricevere un pacchetto | Per il contenuto SIEM, generare una richiesta pull nel repository delle soluzioni Microsoft Sentinel in modo che il personale di progettazione Microsoft Sentinel possa esaminarla e fornire commenti e suggerimenti. Dopo aver fornito il feedback tecnico e risolto eventuali problemi in sospeso, il personale tecnico Microsoft Sentinel unisce la richiesta pull nel ramo principale e genera il pacchetto finale che è necessario inviare con l'offerta. Per altre informazioni, vedere Microsoft Sentinel e Microsoft 365 Defender- Pull request |
Pubblicazione
Dopo aver compilato, testato e certificato la soluzione, è possibile pubblicarla nel marketplace commerciale Azure. Questa sezione fornisce indicazioni su come pubblicare la soluzione.
| Passaggio | Descrizione |
|---|---|
| Creare un'offerta | Dopo aver creato un pacchetto di soluzione, è possibile creare un'offerta in Security Store o Marketplace. Per altre informazioni su come pubblicare la soluzione, vedere le risorse seguenti. Per altre informazioni, vedere: Pubblicare soluzioni in Microsoft Sentinel |
| Anteprima dell'offerta di test | Viene creata una versione dell'offerta accessibile solo al gruppo di destinatari di anteprima specificato. La creazione di un'offerta di anteprima garantisce che gruppi di destinatari specifici testano la soluzione prima che la soluzione venga ampiamente condivisa con tutti i clienti. È consigliabile mantenere la soluzione in anteprima per almeno quattro settimane per raccogliere feedback dai clienti e risolvere eventuali problemi che si verificano. Per altre informazioni, vedere: Stato della soluzione Microsoft Sentinel dopo la pubblicazione nel Centro per i partner Microsoft |
| Risolvere i problemi di certificazione | Le offerte inviate al marketplace commerciale devono essere certificate prima di essere pubblicate. Se l'offerta non supera uno dei controlli o se non si è idonei a inviare un'offerta di questo tipo, viene inviato un report di errore di certificazione all'indirizzo di posta elettronica. Gli errori vengono visualizzati anche all'interno del Centro notifiche nel Centro per i partner. Per altre informazioni, vedere Problemi di certificazione. Dopo aver risolto i problemi, è possibile inviare di nuovo l'offerta per la certificazione. In questo modo viene attivato di nuovo il processo di revisione e una volta che l'offerta supera la certificazione. La soluzione viene pubblicata nel marketplace e disponibile per i clienti in Microsoft Sentinel hub contenuti entro due giorni lavorativi. |
| Rendere disponibile l'offerta su larga scala | Assicurarsi di aver convalidato tutti gli aspetti della soluzione nella fase di anteprima prima di rendere dinamica l'offerta. Assicurarsi di convalidare tutti gli aspetti della soluzione nella fase di anteprima prima di rendere dinamica l'offerta. Per altre informazioni, vedere: Approvazione del server di pubblicazione |
Anteprima
Dopo la pubblicazione della soluzione nel marketplace commerciale Azure, è possibile renderla disponibile ai clienti in modalità anteprima. Questa sezione fornisce indicazioni su come rendere la soluzione disponibile per i clienti in modalità anteprima.
| Passaggio | Descrizione |
|---|---|
| Informare i clienti | Socializzare la disponibilità della soluzione con i clienti in modo che possano testare e fornire feedback sulla soluzione. |
| Risolvere i problemi di supporto | Quando i clienti usano la versione di anteprima della soluzione, potrebbero riscontrare problemi. Preparati ad affrontare questi problemi man mano che si presentano. Oltre ai problemi, i clienti potrebbero anche richiedere nuove funzionalità o miglioramenti. A seconda del feedback, è necessario eseguire l'iterazione della soluzione prima di renderla disponibile a livello generale. |
| Continua per quattro settimane | È consigliabile mantenere la soluzione in anteprima per almeno quattro settimane per raccogliere feedback dai clienti e risolvere eventuali problemi che si verificano. |
Vai al mercato (GTM)
Dopo aver visualizzato la soluzione in anteprima per almeno quattro settimane e aver affrontato eventuali problemi riscontrati dal cliente, è possibile rendere la soluzione disponibile a livello generale per tutti i clienti.
| Passaggio | Descrizione |
|---|---|
| Rimuovere il flag di anteprima | Dopo il periodo di anteprima, è possibile rimuovere il flag di anteprima dall'offerta per renderlo disponibile a livello generale per tutti i clienti. |
| Ascoltare i commenti e suggerimenti dei clienti | Continuare a monitorare il feedback e le richieste di supporto man mano che la soluzione acquisisce la trazione. |
| Migliorare la soluzione | In base al feedback dei clienti, potrebbe essere necessario migliorare la soluzione per soddisfare le esigenze dei clienti. Il feedback dei clienti potrebbe richiedere l'aggiunta di nuove funzionalità, il miglioramento delle prestazioni o la risoluzione di eventuali problemi riscontrati dai clienti. |