Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren

  • Artikel
  • Geldt voor:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

De Microsoft Sentinel Content Hub is uw centrale locatie om out-of-the-box-inhoud (ingebouwd) te detecteren en te beheren. Daar vindt u verpakte oplossingen voor end-to-end producten per domein of branche. U hebt toegang tot het grote aantal zelfstandige bijdragen dat wordt gehost in onze GitHub-opslagplaats en functieblade.

  • Ontdek oplossingen en zelfstandige inhoud met een consistente set filtermogelijkheden op basis van status, inhoudstype, ondersteuning, provider en categorie.

  • Installeer inhoud in uw werkruimte allemaal tegelijk of afzonderlijk.

  • Bekijk inhoud in de lijstweergave en bekijk snel welke oplossingen updates hebben. Werk oplossingen allemaal tegelijk bij terwijl zelfstandige inhoud automatisch wordt bijgewerkt.

  • Beheer een oplossing om de inhoudstypen te installeren en de meest recente wijzigingen op te halen.

  • Configureer zelfstandige inhoud om nieuwe actieve items te maken op basis van de meest recente sjabloon.

Als u een partner bent die uw eigen oplossing wil maken, raadpleegt u de buildhandleiding voor Microsoft Sentinel-oplossingen voor het ontwerpen en publiceren van oplossingen.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

Als u zelfstandige inhoud of oplossingen in de inhoudshub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel-inzender nodig op het niveau van de resourcegroep.

Zie Machtigingen in Microsoft Sentinel voor meer informatie over andere rollen en machtigingen die worden ondersteund voor Microsoft Sentinel.

Inhoud ontdekken

De inhoudshub biedt de beste manier om nieuwe inhoud te vinden of de oplossingen te beheren die u al hebt geïnstalleerd.

  1. Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.

    Op de pagina Inhoudshub wordt een doorzoekbaar raster of een lijst met oplossingen en zelfstandige inhoud weergegeven.

  2. Filter de weergegeven lijst door specifieke waarden in de filters te selecteren of een deel van een inhoudsnaam of beschrijving in te voeren in het zoekveld .

    Zie Categorieën voor Microsoft Sentinel out-of-the-box-inhoud en -oplossingen voor meer informatie.

  3. Selecteer de kaartweergave om meer informatie over een oplossing weer te geven.

    Elk inhoudsitem bevat categorieën die hierop van toepassing zijn en oplossingen geven de inhoudstypen weer die zijn opgenomen. In de volgende afbeelding bevat de Cisco Umbrella-oplossing bijvoorbeeld een van de categorieën Beveiliging - Cloud Security en geeft aan dat deze een gegevensconnector, analyseregels, opsporingsquery's, playbooks en meer bevat.

Inhoud installeren of bijwerken

Installeer zelfstandige inhoud en oplossingen afzonderlijk of allemaal bulksgewijs. Zie Inhoud bulksgewijs installeren en bijwerken in de volgende sectie voor meer informatie over bulkbewerkingen.

Als een oplossing die u hebt geïmplementeerd updates heeft sinds u deze voor het laatst hebt geïmplementeerd, wordt in de lijstweergave Update weergegeven in de statuskolom. De oplossing is ook opgenomen in het aantal updates boven aan de pagina.

Hier volgt een voorbeeld met de installatie van een afzonderlijke oplossing.

  1. Zoek en selecteer de oplossing in de Inhoudshub.

  2. Selecteer Details weergeven in het detailvenster van de oplossing rechtsonder.

  3. Selecteer Maken of Bijwerken.

  4. Voer op het tabblad Basis het abonnement, de resourcegroep en de werkruimte in om de oplossing te implementeren. Voorbeeld:

    Schermopname van een installatiewizard van een oplossing, met het tabblad Basisbeginselen.

  5. Selecteer Volgende om de resterende tabbladen te doorlopen voor meer informatie en in sommige gevallen configureert u elk van de inhoudsonderdelen.

    De tabbladen komen overeen met de inhoud die door de oplossing wordt aangeboden. Verschillende oplossingen hebben mogelijk verschillende soorten inhoud, dus u ziet mogelijk niet dezelfde tabbladen in elke oplossing.

    Mogelijk wordt u ook gevraagd om referenties in te voeren voor een service van derden, zodat Microsoft Sentinel kan worden geverifieerd bij uw systemen. Met playbooks kunt u bijvoorbeeld reactieacties uitvoeren zoals voorgeschreven in uw systeem.

  6. Wacht op het tabblad Controleren en maken op het Validation Passed bericht.

  7. Selecteer Maken of Bijwerken om de oplossing te implementeren. U kunt ook de koppeling Een sjabloon voor automatisering downloaden selecteren om de oplossing als code te implementeren.

Voor elk inhoudstype in de oplossing zijn mogelijk meer stappen nodig om te configureren. Zie Inhoudsitems inschakelen in een oplossing voor meer informatie.

Inhoud bulksgewijs installeren en bijwerken

Inhoudshub ondersteunt een lijstweergave naast de standaardkaartweergave. Selecteer de lijstweergave om meerdere oplossingen en zelfstandige inhoud tegelijk te installeren. Zelfstandige inhoud wordt automatisch bijgewerkt. Actieve of aangepaste inhoud die is gemaakt op basis van oplossingen of zelfstandige inhoud die is geïnstalleerd vanuit de inhoudshub, blijft ongewijzigd.

  1. Als u items bulksgewijs wilt installeren of bijwerken, gaat u naar de lijstweergave.

  2. Zoek of filter om de inhoud te vinden die u bulksgewijs wilt installeren of bijwerken.

  3. Schakel het selectievakje in voor elke oplossing of zelfstandige inhoud die u wilt installeren of bijwerken.

  4. Selecteer de knop Installeren/bijwerken . Schermopname van de lijstweergave met meerdere oplossingen geselecteerd en wordt uitgevoerd voor de installatie.

    Als een oplossing of zelfstandige inhoud die u hebt geselecteerd al is geïnstalleerd of bijgewerkt, wordt er geen actie ondernomen op dat item. Het heeft geen invloed op de update en installatie van de andere items.

  5. Selecteer Beheren voor elke oplossing die u hebt geïnstalleerd. Voor inhoudstypen in de oplossing is mogelijk meer informatie nodig om te configureren. Zie Inhoudsitems inschakelen in een oplossing voor meer informatie.

Inhoudsitems in een oplossing inschakelen

Inhoudsitems centraal beheren voor geïnstalleerde oplossingen vanuit de inhoudshub.

  1. Selecteer in de inhoudshub een geïnstalleerde oplossing waarbij de versie 2.0.0 of hoger is.

  2. Selecteer Beheren op de pagina met details van oplossingen.

    Schermopname van de knop Beheren op de detailpagina van de Azure Activity Content Hub-oplossing.

  3. Bekijk de lijst met inhoudsitems.

    Schermopname van de beschrijving van de oplossing en een lijst met inhoudsitems voor de Azure-activiteitsoplossing.

  4. Selecteer een inhoudsitem om aan de slag te gaan.

Elk inhoudstype beheren

In de volgende secties vindt u enkele tips over het werken met de verschillende inhoudstypen terwijl u een oplossing beheert.

Gegevensconnector

Voltooi de configuratiestappen om verbinding te maken met een gegevensconnector.

  1. Selecteer de pagina Verbindingslijn openen.

  2. Voer de configuratiestappen voor de gegevensconnector uit.

    Schermopname van het inhoudsitem van de gegevensconnector voor de Azure-activiteitsoplossing waarbij de status is verbroken.

    Nadat u de gegevensconnector en logboeken hebt geconfigureerd, wordt de status gewijzigd in Verbinding maken ed.

Analyseregel

Maak een regel op basis van een sjabloon of bewerk een bestaande regel.

  1. Bekijk de sjabloon in de galerie met analysesjablonen.

  2. Als de sjabloon nog niet wordt gebruikt, selecteert u Een>regel maken openen en volgt u de stappen om de analyseregel in te schakelen.

    Nadat u een regel hebt gemaakt, wordt het aantal actieve regels dat is gemaakt op basis van de sjabloon weergegeven in de kolom Inhoud gemaakt .

  3. Selecteer de koppeling actieve regels om de bestaande regel te bewerken. De actieve regelkoppeling in de volgende afbeelding bevindt zich bijvoorbeeld onder Inhoud die is gemaakt en bevat twee items.

    Schermopname van inhoudsitem voor analyseregels in oplossing voor Azure-activiteit.

Opsporingsquery

Voer de opgegeven opsporingsquery uit of pas deze aan.

  1. Als u meteen wilt zoeken, selecteert u Query uitvoeren op de detailpagina voor snelle resultaten.

    Schermopname van gekloond opsporingsquery-inhoudsitem in oplossing voor Azure-activiteit.

  2. Als u uw opsporingsquery wilt aanpassen, selecteert u de koppeling in de kolom Inhoudsnaam .

    Vanuit de jachtgalerie kunt u een kloon van de alleen-lezen opsporingsquerysjabloon maken door naar het menu met weglatingstekens te gaan. Opsporingsquery's die op deze manier zijn gemaakt, worden weergegeven als items in de kolom Met inhoud gemaakte inhoud van de inhoudshub.

Werkmap

Als u een werkmap wilt aanpassen die is gemaakt op basis van een sjabloon, maakt u een exemplaar van een werkmap.

  1. Selecteer De sjabloon Weergeven om de werkmap te openen en de visualisaties weer te geven.

  2. Selecteer Opslaan om een exemplaar van de werkmapsjabloon te maken.

  3. Bekijk de opgeslagen aanpasbare werkmap door opgeslagen werkmap weergeven te selecteren.

  4. Selecteer in de inhoudshub de koppeling 1 item in de kolom Inhoud gemaakt om de werkmap te beheren.

    Schermopname van opgeslagen werkmapitem in oplossing voor Azure-activiteit.

Parser

Wanneer een oplossing is geïnstalleerd, worden eventuele opgenomen parsers toegevoegd als werkruimtefuncties in Log Analytics.

  1. Selecteer De functiecode laden om Log Analytics te openen en de functiecode weer te geven of uit te voeren.

  2. Selecteer Gebruiken in editor om Log Analytics te openen met de parsernaam die klaar is om toe te voegen aan uw aangepaste query.

    Schermopname van het inhoudstype parser in een oplossing.

Playbook

Een playbook maken op basis van een sjabloon.

  1. Selecteer de koppeling Inhoudsnaam van het playbook.

  2. Kies de sjabloon en selecteer Playbook maken.

  3. Nadat het playbook is gemaakt, wordt het actieve playbook weergegeven in de kolom Inhoud gemaakt .

  4. Selecteer de itemkoppeling voor het actieve playbook 1 om het playbook te beheren.

    Schermopname van het inhoudstype playbooktype in een oplossing.

Het ondersteuningsmodel voor uw inhoud zoeken

Elk oplossings- en zelfstandig inhoudsitem legt het ondersteuningsmodel uit in het detailvenster, in het vak Ondersteuning , waarin Microsoft of de naam van een partner wordt vermeld. Voorbeeld:

Schermopname van waar u uw ondersteuningsmodel voor uw oplossing kunt vinden.

Wanneer u contact op neemt met ondersteuning, hebt u mogelijk andere gegevens nodig over uw oplossing, zoals een uitgever, provider en plan-id-waarden. Zoek deze informatie op de pagina met details op het tabblad Gebruiksgegevens en ondersteuning .

Schermopname van gebruiks- en ondersteuningsdetails voor een oplossing.

Volgende stappen

In dit document hebt u geleerd hoe u ingebouwde oplossingen en zelfstandige inhoud voor Microsoft Sentinel kunt vinden en implementeren.

Veel oplossingen omvatten gegevensconnectors die u moet configureren, zodat u uw gegevens kunt opnemen in Microsoft Sentinel. Elke gegevensconnector heeft een eigen set vereisten die worden beschreven op de pagina gegevensconnector in Microsoft Sentinel.

Zie Verbinding maken uw gegevensbron voor meer informatie.