Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

De hub Microsoft Sentinel Inhoud is uw centrale locatie voor het detecteren en beheren van out-of-the-box (ingebouwde) inhoud. Daar vindt u verpakte oplossingen voor end-to-end producten per domein of branche. U hebt toegang tot het grote aantal zelfstandige bijdragen dat wordt gehost in onze GitHub-opslagplaats en functieblade.

  • Ontdek oplossingen en zelfstandige inhoud met een consistente set filtermogelijkheden op basis van status, inhoudstype, ondersteuning, provider en categorie.

  • Installeer inhoud in uw werkruimte in één keer of afzonderlijk.

  • Bekijk inhoud in de lijstweergave en bekijk snel welke oplossingen updates hebben. Werk oplossingen allemaal tegelijk bij terwijl zelfstandige inhoud automatisch wordt bijgewerkt.

  • Een oplossing beheren om de inhoudstypen te installeren en de meest recente wijzigingen op te halen.

  • Zelfstandige inhoud configureren om nieuwe actieve items te maken op basis van de meest recente sjabloon.

Als u een partner bent die uw eigen oplossing wil maken, raadpleegt u de buildhandleiding voor Microsoft Sentinel oplossingen voor het ontwerpen en publiceren van oplossingen.

Belangrijk

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.

Vereisten

Als u zelfstandige inhoud of oplossingen in content hub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel Inzender op het niveau van de resourcegroep nodig.

Zie Machtigingen in Microsoft Sentinel voor meer informatie over andere rollen en machtigingen die worden ondersteund voor Microsoft Sentinel.

Inhoud ontdekken

De inhoudshub biedt de beste manier om nieuwe inhoud te vinden of de oplossingen te beheren die u al hebt geïnstalleerd.

  1. Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Hub Inhoudsbeheer>. Voor Microsoft Sentinel in de Azure Portal selecteert u onder Inhoudsbeheerde optie Inhoudshub.

    Op de pagina Inhoudshub wordt een doorzoekbaar raster of een lijst met oplossingen en zelfstandige inhoud weergegeven.

  2. Zoek naar de oplossingen of zelfstandige inhoudsitems die u nodig hebt. Selecteer specifieke waarden in de filters of voer een zoekterm in het vak Zoeken in. Zoekopdrachten maken gebruik van AI om fuzzy zoekopdrachten en een geschatte woordenlijst te ondersteunen.

    Druk tijdens het zoeken op Enter om de zoekopdracht te starten. Het aantal zoekresultaten is beperkt tot 50 items, inclusief zowel oplossingen als inhoudsitems in oplossingen. Als u niet vindt wat u zoekt, verfijnt u de zoekexpressie of gebruikt u verschillende filters.

    Zie Categorieën voor Microsoft Sentinel out-of-the-box inhoud en oplossingen voor meer informatie.

  3. Selecteer in de lijstweergave ( ) een oplossing in de lijst om informatie over de oplossing en de typen inhoudsitems weer te geven.

    Vouw een oplossing uit in de zoek- of filterresultaten om de lijst met inhoudsitems weer te geven. Het informatievenster aan de zijkant bevat gedetailleerde informatie over het inhoudsitem.

    U kunt ook de kaartweergave ( ) selecteren om oplossingen weer te geven die in een raster worden weergegeven. Elke kaart bevat de naam, beschrijving en categorieën van de oplossing. Selecteer een kaart om meer informatie over de oplossing aan de zijkant weer te geven.

Als u een inhoudsitem wilt gebruiken dat deel uitmaakt van een oplossing, moet u de hele oplossing installeren. Als u een specifiek inhoudsitem hebt geselecteerd in de lijstweergave, selecteert u Oplossing installeren in het detailvenster aan de zijkant om de relevante oplossing te installeren.

Zie Categorieën voor Microsoft Sentinel out-of-the-box inhoud en oplossingen voor meer informatie.

Inhoud installeren of bijwerken

Zelfstandige inhoud en oplossingen afzonderlijk of bulksgewijs installeren. Zie Inhoud bulksgewijs installeren en bijwerken in de volgende sectie voor meer informatie over bulkbewerkingen.

Als een oplossing die u hebt geïmplementeerd updates bevat sinds u deze voor het laatst hebt geïmplementeerd, wordt In de lijstweergave Update weergegeven in de kolom status. De oplossing is ook opgenomen in het aantal Updates boven aan de pagina.

Hier volgt een voorbeeld van de installatie van een afzonderlijke oplossing.

  1. Zoek en selecteer de oplossing in de hub Inhoud.

  2. Selecteer in het detailvenster van de oplossing rechtsonder de optie Details weergeven.

  3. Selecteer Maken of Bijwerken.

  4. Voer op het tabblad Basisinformatie het abonnement, de resourcegroep en de werkruimte in om de oplossing te implementeren. Bijvoorbeeld:

    Schermopname van de installatiewizard van een oplossing, met het tabblad Basisbeginselen.

  5. Selecteer Volgende om de resterende tabbladen te doorlopen voor meer informatie over, en in sommige gevallen configureren, elk van de inhoudsonderdelen.

    De tabbladen komen overeen met de inhoud die door de oplossing wordt aangeboden. Verschillende oplossingen hebben mogelijk verschillende typen inhoud, waardoor u mogelijk niet in elke oplossing dezelfde tabbladen ziet.

    U wordt mogelijk ook gevraagd referenties in te voeren voor een niet-Microsoft-service, zodat Microsoft Sentinel zich kunt verifiëren bij uw systemen. Met playbooks kunt u bijvoorbeeld reactieacties uitvoeren zoals voorgeschreven in uw systeem.

  6. Wacht op het tabblad Controleren en maken op het Validation Passed bericht.

  7. Selecteer Maken of Bijwerken om de oplossing te implementeren. U kunt ook de koppeling Een sjabloon voor automatisering downloaden selecteren om de oplossing als code te implementeren.

Installeren met afhankelijkheden

Sommige oplossingen hebben afhankelijkheden die moeten worden geïnstalleerd, waaronder veel domeinoplossingen en oplossingen die gebruikmaken van de geïntegreerde AMA-connectors voor CEF, Syslog of aangepaste logboeken.

Selecteer in dergelijke gevallen Installeren met afhankelijkheden om ervoor te zorgen dat de vereiste gegevensconnectors ook zijn geïnstalleerd. Selecteer hier een of meer van de afhankelijkheden om ze samen met de oorspronkelijke oplossing te installeren. De oorspronkelijke oplossing die u hebt gekozen om te installeren, is altijd standaard geselecteerd.

Als een of meer van de afhankelijkheidsoplossingen al zijn geïnstalleerd, maar updates hebben, gebruikt u de knop Installeren/bijwerken om alle geselecteerde oplossingen bulksgewijs te installeren en bij te werken. Bijvoorbeeld:

Schermopname van het bulksgewijs installeren van meerdere oplossingsafhankelijkheden.

Nadat u een oplossing hebt geïnstalleerd, vereist elk inhoudstype in de oplossing mogelijk meer stappen om te configureren. Zie Inhoudsitems inschakelen in een oplossing voor meer informatie.

Inhoud bulksgewijs installeren en bijwerken

Inhoudshub ondersteunt een lijstweergave naast de standaardkaartweergave. Selecteer de lijstweergave om meerdere oplossingen en zelfstandige inhoud tegelijk te installeren. Zelfstandige inhoud wordt automatisch bijgewerkt. Actieve of aangepaste inhoud die is gemaakt op basis van oplossingen of zelfstandige inhoud die is geïnstalleerd vanuit content hub, blijft ongewijzigd.

  1. Als u items bulksgewijs wilt installeren of bijwerken, gaat u naar de lijstweergave.

  2. Zoek of filter om de inhoud te vinden die u bulksgewijs wilt installeren of bijwerken.

  3. Schakel het selectievakje in voor elke oplossing of zelfstandige inhoud die u wilt installeren of bijwerken.

  4. Selecteer de knop Installeren/bijwerken . Schermopname van de lijstweergave met meerdere oplossingen die zijn geselecteerd en worden uitgevoerd voor de installatie.

    Als een oplossing of zelfstandige inhoud die u hebt geselecteerd al is geïnstalleerd of bijgewerkt, wordt er geen actie ondernomen op dat item. Dit heeft geen invloed op het bijwerken en installeren van de andere items.

  5. Selecteer Beheren voor elke oplossing die u hebt geïnstalleerd. Voor inhoudstypen in de oplossing is mogelijk meer informatie vereist die u kunt configureren. Zie Inhoudsitems inschakelen in een oplossing voor meer informatie.

Pakketten en sjablonen installeren met behulp van de API

Als u de API gebruikt om oplossingspakketten of afzonderlijke sjablonen te installeren, volgt u deze stappen:

  1. Haal het oplossingspakket of de sjabloon op:

  2. Zoek het veld in het properties.mainTemplate API-antwoord. Dit veld bevat de ARM-sjabloon-JSON waarmee de oplossing of sjabloonresources worden gedefinieerd.

  3. Implementeer de geëxtraheerde mainTemplate met behulp van een ARM-sjabloonimplementatie, ofwel via de Rest API, Azure CLI of PowerShell.

Inhoudsitems inschakelen in een oplossing

Beheer inhoudsitems voor geïnstalleerde oplossingen centraal vanuit de inhoudshub.

  1. Selecteer in de inhoudshub een geïnstalleerde oplossing met versie 2.0.0 of hoger.

  2. Selecteer beheren op de pagina met details van de oplossing.

    Schermopname van de knop Beheren op de detailpagina van de oplossing Azure Activity Content Hub.

  3. Bekijk de lijst met inhoudsitems.

    Schermopname van de beschrijving van de oplossing en een lijst met inhoudsitems voor Azure activiteitsoplossing.

  4. Selecteer een inhoudsitem om aan de slag te gaan.

Elk inhoudstype beheren

In de volgende secties vindt u enkele tips voor het werken met de verschillende inhoudstypen terwijl u een oplossing beheert.

Gegevensconnector

Voltooi de configuratiestappen om verbinding te maken met een gegevensconnector.

  1. Selecteer Connectorpagina openen.

  2. Voltooi de configuratiestappen voor de gegevensconnector.

    Schermopname van inhoudsitem voor gegevensconnector voor Azure-activiteitsoplossing waarbij de status is verbroken.

    Nadat u de gegevensconnector hebt geconfigureerd en logboeken zijn gedetecteerd, verandert de status in Verbonden.

Analyseregel

Een regel maken op basis van een sjabloon of een bestaande regel bewerken.

  1. Bekijk de sjabloon in de galerie met analysesjablonen.

  2. Als de sjabloon nog niet wordt gebruikt, selecteert u Regel>maken openen en volgt u de stappen om de analyseregel in te schakelen.

    Nadat u een regel hebt gemaakt, wordt het aantal actieve regels dat is gemaakt op basis van de sjabloon weergegeven in de kolom Inhoud gemaakt .

  3. Selecteer de koppeling actieve regels om de bestaande regel te bewerken. De actieve regelkoppeling in de volgende afbeelding bevindt zich bijvoorbeeld onder Inhoud gemaakt en toont 2 items.

    Schermopname van inhoudsitem voor analyseregels in de oplossing voor Azure-activiteit.

Opsporingsquery

Voer de opgegeven opsporingsquery uit of pas deze aan.

  1. Als u meteen wilt zoeken, selecteert u Query uitvoeren op de detailpagina voor snelle resultaten.

    Schermopname van gekloond opsporingsquery-inhoudsitem in de oplossing voor Azure-activiteit.

  2. Als u uw opsporingsquery wilt aanpassen, selecteert u de koppeling in de kolom Inhoudsnaam .

    Vanuit de opsporingsgalerie kunt u een kloon van de alleen-lezen opsporingsquerysjabloon maken door naar het beletseltekenmenu te gaan. Opsporingsquery's die op deze manier zijn gemaakt, worden weergegeven als items in de kolom Inhoudshub Gemaakt.

Werkmap

Als u een werkmap wilt aanpassen die is gemaakt op basis van een sjabloon, maakt u een exemplaar van een werkmap.

  1. Selecteer Sjabloon weergeven om de werkmap te openen en de visualisaties weer te geven.

  2. Selecteer Opslaan om een exemplaar van de werkmapsjabloon te maken.

  3. Bekijk uw opgeslagen aanpasbare werkmap door Opgeslagen werkmap weergeven te selecteren.

  4. Selecteer in de inhoudshub de koppeling 1 item in de kolom Inhoud gemaakt om de werkmap te beheren.

    Schermopname van het opgeslagen werkmapitem in de oplossing voor Azure-activiteit.

Parser

Wanneer een oplossing is geïnstalleerd, worden eventuele parsers toegevoegd als werkruimtefuncties in Log Analytics.

  1. Selecteer De functiecode laden om Log Analytics te openen en de functiecode weer te geven of uit te voeren.

  2. Selecteer Gebruiken in editor om Log Analytics te openen met de parsernaam die klaar is om toe te voegen aan uw aangepaste query.

    Schermopname van het inhoudstype parser in een oplossing.

Playbook

Een playbook maken op basis van een sjabloon.

  1. Selecteer de koppeling Inhoudsnaam van het playbook.

  2. Kies de sjabloon en selecteer Playbook maken.

  3. Nadat het playbook is gemaakt, wordt het actieve playbook weergegeven in de kolom Gemaakte inhoud .

  4. Selecteer de actieve playbook 1-itemkoppeling om het playbook te beheren.

    Schermopname van het inhoudstype playbook in een oplossing.

Het ondersteuningsmodel voor uw inhoud zoeken

In elke oplossing en zelfstandig inhoudsitem wordt het ondersteuningsmodel uitgelegd in het detailvenster in het vak Ondersteuning , waar de naam van Microsoft of een partner wordt vermeld. Bijvoorbeeld:

Schermopname van waar u uw ondersteuningsmodel voor uw oplossing kunt vinden.

Wanneer u contact opneemt met ondersteuning, hebt u mogelijk andere informatie over uw oplossing nodig, zoals een uitgever, provider en plan-id-waarden. U vindt deze informatie op de pagina details op het tabblad Gebruiksgegevens & ondersteuning .

Schermopname van gebruiks- en ondersteuningsgegevens voor een oplossing.

Volgende stappen

In dit document hebt u geleerd hoe u ingebouwde oplossingen en zelfstandige inhoud voor Microsoft Sentinel kunt vinden en implementeren.

Veel oplossingen bevatten gegevensconnectors die u moet configureren, zodat u uw gegevens kunt opnemen in Microsoft Sentinel. Elke gegevensconnector heeft een eigen set vereisten die worden beschreven op de pagina van de gegevensconnector in Microsoft Sentinel.

Zie Uw gegevensbron verbinden voor meer informatie.

  • Last updated on