Odnajdywanie zawartości Microsoft Sentinel i zarządzanie nią

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Centrum zawartości Microsoft Sentinel to scentralizowana lokalizacja umożliwiająca odnajdywanie zawartości wbudowanej (wbudowanej) i zarządzanie nią. Tam znajdziesz spakowane rozwiązania dla kompleksowych produktów według domeny lub branży. Masz dostęp do ogromnej liczby autonomicznych elementów współtworzenia hostowanych w naszym repozytorium GitHub i blokach funkcji.

  • Odnajdywanie rozwiązań i zawartości autonomicznej ze spójnym zestawem możliwości filtrowania na podstawie stanu, typu zawartości, pomocy technicznej, dostawcy i kategorii.

  • Zainstaluj zawartość w obszarze roboczym jednocześnie lub pojedynczo.

  • Wyświetl zawartość w widoku listy i szybko zobacz, które rozwiązania mają aktualizacje. Aktualizuj rozwiązania jednocześnie, gdy zawartość autonomiczna jest aktualizowana automatycznie.

  • Zarządzaj rozwiązaniem, aby zainstalować jego typy zawartości i uzyskać najnowsze zmiany.

  • Skonfiguruj zawartość autonomiczną, aby tworzyć nowe aktywne elementy na podstawie najbardziej aktualnego szablonu.

Jeśli jesteś partnerem, który chce utworzyć własne rozwiązanie, zapoznaj się z przewodnikiem Microsoft Sentinel Solutions Build Guide dotyczącym tworzenia i publikowania rozwiązań.

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Wymagania wstępne

Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola współautora Microsoft Sentinel na poziomie grupy zasobów.

Aby uzyskać więcej informacji na temat innych ról i uprawnień obsługiwanych dla Microsoft Sentinel, zobacz Uprawnienia w Microsoft Sentinel.

Odnajdowanie zawartości

Centrum zawartości oferuje najlepszy sposób znajdowania nowej zawartości lub zarządzania już zainstalowanymi rozwiązaniami.

  1. W przypadku Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Zarządzanie zawartością> Centrumzawartości. W przypadku Microsoft Sentinel w Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.

    Na stronie Centrum zawartości jest wyświetlana siatka z możliwością wyszukiwania lub lista rozwiązań i zawartości autonomicznej.

  2. Wyszukaj potrzebne rozwiązania lub autonomiczne elementy zawartości. Wybierz określone wartości z filtrów lub wprowadź termin wyszukiwania w polu Wyszukaj . Wyszukiwania używają sztucznej inteligencji do obsługi wyszukiwania rozmytego i przybliżonego słownictwa.

    Podczas wyszukiwania naciśnij klawisz ENTER , aby rozpocząć wyszukiwanie. Liczba wyników wyszukiwania jest ograniczona do 50 elementów, w tym zarówno rozwiązań, jak i elementów zawartości znalezionych w rozwiązaniach. Jeśli nie znajdziesz tego, czego szukasz, spróbuj uściślić wyrażenie wyszukiwania lub użyć różnych filtrów.

    Aby uzyskać więcej informacji, zobacz Kategorie Microsoft Sentinel zawartości i rozwiązań.

  3. W widoku listy ( ) wybierz rozwiązanie z listy, aby wyświetlić informacje o rozwiązaniu, a także typy elementów zawartości, które zawiera.

    Rozwiń rozwiązanie w wynikach wyszukiwania lub filtrowania, aby wyświetlić listę elementów zawartości, które zawiera. Okienko informacji z boku zawiera szczegółowe informacje o elemencie zawartości.

    Alternatywnie wybierz widok karty ( ), aby wyświetlić rozwiązania prezentowane w siatce. Każda karta zawiera nazwę, opis i kategorie rozwiązania. Wybierz kartę, aby wyświetlić więcej informacji o rozwiązaniu z boku.

Aby użyć elementu zawartości, który jest częścią rozwiązania, należy zainstalować całe rozwiązanie. Jeśli wybrano określony element zawartości w widoku listy, wybierz pozycję Zainstaluj rozwiązanie w okienku szczegółów z boku, aby zainstalować odpowiednie rozwiązanie.

Aby uzyskać więcej informacji, zobacz Kategorie Microsoft Sentinel zawartości i rozwiązań.

Instalowanie lub aktualizowanie zawartości

Zainstaluj autonomiczną zawartość i rozwiązania pojedynczo lub razem zbiorczo. Aby uzyskać więcej informacji na temat operacji zbiorczych, zobacz Zbiorcze instalowanie i aktualizowanie zawartości w następnej sekcji.

Jeśli wdrożone rozwiązanie zawiera aktualizacje od czasu ostatniego wdrożenia, widok listy zawiera pozycję Aktualizuj w kolumnie stanu. Rozwiązanie jest również uwzględniane w Aktualizacje w górnej części strony.

Oto przykład przedstawiający instalację pojedynczego rozwiązania.

  1. W centrum zawartości wyszukaj i wybierz rozwiązanie.

  2. W okienku szczegółów rozwiązań w prawym dolnym rogu wybierz pozycję Wyświetl szczegóły.

  3. Wybierz pozycję Utwórz lub zaktualizuj.

  4. Na karcie Podstawy wprowadź subskrypcję, grupę zasobów i obszar roboczy, aby wdrożyć rozwiązanie. Przykład:

    Zrzut ekranu kreatora instalacji rozwiązania z wyświetloną kartą Podstawy.

  5. Wybierz pozycję Dalej , aby przejść przez pozostałe karty, aby dowiedzieć się więcej, a w niektórych przypadkach skonfigurować każdy składnik zawartości.

    Karty odpowiadają zawartości oferowanej przez rozwiązanie. Różne rozwiązania mogą mieć różne typy zawartości, więc w każdym rozwiązaniu mogą nie być widoczne te same karty.

    Może również zostać wyświetlony monit o wprowadzenie poświadczeń do usługi innej niż Microsoft, aby Microsoft Sentinel mogły uwierzytelniać się w systemach. Na przykład w przypadku podręczników warto podjąć działania odpowiedzi zgodnie z zaleceniami w systemie.

  6. Na karcie Przeglądanie i tworzenie zaczekaj Validation Passed na komunikat.

  7. Wybierz pozycję Utwórz lub zaktualizuj , aby wdrożyć rozwiązanie. Możesz również wybrać link Pobierz szablon automatyzacji , aby wdrożyć rozwiązanie jako kod.

Instalowanie z zależnościami

Niektóre rozwiązania mają zależności do zainstalowania, w tym wiele rozwiązań i rozwiązań domenowych korzystających z ujednoliconych łączników ama dla dzienników CEF, Syslog lub dzienników niestandardowych.

W takich przypadkach wybierz pozycję Zainstaluj z zależnościami , aby upewnić się, że są również zainstalowane wymagane łączniki danych. W tym miejscu wybierz co najmniej jedną z zależności, aby je zainstalować wraz z oryginalnym rozwiązaniem. Oryginalne rozwiązanie wybrane do zainstalowania jest zawsze wybierane domyślnie.

Jeśli co najmniej jedno z rozwiązań zależności jest już zainstalowane, ale zawiera aktualizacje, użyj przycisku Zainstaluj/Aktualizuj , aby zainstalować i zaktualizować wszystkie wybrane rozwiązania zbiorczo. Przykład:

Zrzut ekranu przedstawiający zbiorcze instalowanie wielu zależności rozwiązań.

Po zainstalowaniu rozwiązania każdy typ zawartości w rozwiązaniu może wymagać więcej kroków do skonfigurowania. Aby uzyskać więcej informacji, zobacz Włączanie elementów zawartości w rozwiązaniu.

Zbiorcze instalowanie i aktualizowanie zawartości

Oprócz domyślnego widoku karty centrum zawartości obsługuje widok listy. Wybierz widok listy, aby zainstalować wiele rozwiązań i zawartość autonomiczną jednocześnie. Zawartość autonomiczna jest aktualizowana automatycznie. Każda aktywna lub niestandardowa zawartość utworzona na podstawie rozwiązań lub zawartości autonomicznej zainstalowanej z centrum zawartości pozostaje nietknięta.

  1. Aby zbiorczo zainstalować lub zaktualizować elementy, przejdź do widoku listy.

  2. Wyszukaj lub odfiltruj zawartość, którą chcesz zainstalować lub zaktualizować zbiorczo.

  3. Zaznacz pole wyboru dla każdego rozwiązania lub zawartości autonomicznej, którą chcesz zainstalować lub zaktualizować.

  4. Wybierz przycisk Zainstaluj/Zaktualizuj . Zrzut ekranu przedstawiający widok listy rozwiązań z wybranymi wieloma rozwiązaniami i w toku instalacji.

    Jeśli wybrane rozwiązanie lub zawartość autonomiczna zostały już zainstalowane lub zaktualizowane, nie jest podejmowana żadna akcja dotycząca tego elementu. Nie koliduje to z aktualizacją i instalacją innych elementów.

  5. Wybierz pozycję Zarządzaj dla każdego zainstalowanego rozwiązania. Typy zawartości w rozwiązaniu mogą wymagać więcej informacji do skonfigurowania. Aby uzyskać więcej informacji, zobacz Włączanie elementów zawartości w rozwiązaniu.

Instalowanie pakietów i szablonów przy użyciu interfejsu API

Jeśli używasz interfejsu API do instalowania pakietów rozwiązań lub poszczególnych szablonów, wykonaj następujące kroki:

  1. Pobierz pakiet rozwiązania lub szablon:

  2. W odpowiedzi interfejsu API znajdź properties.mainTemplate pole. To pole zawiera kod JSON szablonu usługi ARM, który definiuje zasoby rozwiązania lub szablonu.

  3. Wdróż wyodrębnione mainTemplate przy użyciu wdrożenia szablonu usługi ARM za pośrednictwem interfejsu API REST, interfejsu wiersza polecenia Azure lub programu PowerShell.

Włączanie elementów zawartości w rozwiązaniu

Centralnie zarządzaj elementami zawartości dla zainstalowanych rozwiązań z centrum zawartości.

  1. W centrum zawartości wybierz zainstalowane rozwiązanie, w którym wersja to 2.0.0 lub nowsza.

  2. Na stronie szczegółów rozwiązań wybierz pozycję Zarządzaj.

    Zrzut ekranu przedstawiający przycisk Zarządzaj na stronie szczegółów rozwiązania centrum zawartości Azure Activity.

  3. Przejrzyj listę elementów zawartości.

    Zrzut ekranu przedstawiający opis rozwiązania i listę elementów zawartości dla rozwiązania Azure Activity.

  4. Wybierz element zawartości, aby rozpocząć pracę.

Zarządzanie poszczególnymi typami zawartości

Poniższe sekcje zawierają wskazówki dotyczące pracy z różnymi typami zawartości podczas zarządzania rozwiązaniem.

Łącznik danych

Aby połączyć łącznik danych, wykonaj kroki konfiguracji.

  1. Wybierz pozycję Otwórz stronę łącznika.

  2. Wykonaj kroki konfiguracji łącznika danych.

    Zrzut ekranu przedstawiający element zawartości łącznika danych dla rozwiązania Azure Activity, w którym stan jest rozłączony.

    Po skonfigurowaniu łącznika danych i wykryciu dzienników stan zmieni się na Połączony.

Reguła analizy

Utwórz regułę na podstawie szablonu lub edytuj istniejącą regułę.

  1. Wyświetl szablon w galerii szablonów analizy.

  2. Jeśli szablon nie jest jeszcze używany, wybierz pozycję Otwórz>regułę Tworzenia i wykonaj kroki, aby włączyć regułę analizy.

    Po utworzeniu reguły liczba aktywnych reguł utworzonych na podstawie szablonu jest wyświetlana w kolumnie Utworzona zawartość .

  3. Wybierz link aktywne reguły, aby edytować istniejącą regułę. Na przykład link aktywnej reguły na poniższej ilustracji znajduje się w obszarze Zawartość utworzona i pokazuje 2 elementy.

    Zrzut ekranu przedstawiający element zawartości reguły analizy w rozwiązaniu dla działania Azure.

Zapytanie dotyczące wyszukiwania zagrożeń

Uruchom dostarczone zapytanie wyszukiwania zagrożeń lub dostosuj go.

  1. Aby rozpocząć wyszukiwanie od razu, wybierz pozycję Uruchom zapytanie na stronie szczegółów, aby uzyskać szybkie wyniki.

    Zrzut ekranu przedstawiający sklonowany element zawartości zapytania wyszukiwania zagrożeń w rozwiązaniu dla działania Azure.

  2. Aby dostosować zapytanie wyszukiwania zagrożeń, wybierz link w kolumnie Nazwa zawartości .

    Z galerii zagrożeń możesz utworzyć klon szablonu zapytania wyszukiwania zagrożeń tylko do odczytu, przechodząc do menu wielokropka. Zapytania wyszukiwania zagrożeń utworzone w ten sposób są wyświetlane jako elementy w kolumnie Utworzono zawartość centrum zawartości.

Skoroszyt

Aby dostosować skoroszyt utworzony na podstawie szablonu, utwórz wystąpienie skoroszytu.

  1. Wybierz pozycję Wyświetl szablon , aby otworzyć skoroszyt i wyświetlić wizualizacje.

  2. Wybierz pozycję Zapisz , aby utworzyć wystąpienie szablonu skoroszytu.

  3. Wyświetl zapisany, dostosowywalny skoroszyt, wybierając pozycję Wyświetl zapisany skoroszyt.

  4. W centrum zawartości wybierz link 1 elementu w kolumnie Utworzona zawartość , aby zarządzać skoroszytem.

    Zrzut ekranu przedstawiający zapisany element skoroszytu w rozwiązaniu dla działania Azure.

Parser

Po zainstalowaniu rozwiązania wszystkie uwzględnione analizatory są dodawane jako funkcje obszaru roboczego w usłudze Log Analytics.

  1. Wybierz pozycję Załaduj kod funkcji , aby otworzyć usługę Log Analytics i wyświetlić lub uruchomić kod funkcji.

  2. Wybierz pozycję Użyj w edytorze , aby otworzyć usługę Log Analytics z nazwą analizatora gotą do dodania do zapytania niestandardowego.

    Zrzut ekranu przedstawiający typ zawartości analizatora w rozwiązaniu.

Playbook

Utwórz podręcznik na podstawie szablonu.

  1. Wybierz link Nazwa zawartości podręcznika.

  2. Wybierz szablon i wybierz pozycję Utwórz podręcznik.

  3. Po utworzeniu podręcznika aktywny podręcznik jest wyświetlany w kolumnie Utworzona zawartość .

  4. Wybierz link do elementu aktywnego podręcznika 1 , aby zarządzać podręcznikiem.

    Zrzut ekranu przedstawiający typ zawartości typu podręcznika w rozwiązaniu.

Znajdowanie modelu pomocy technicznej dla zawartości

Każde rozwiązanie i autonomiczny element zawartości objaśnia model pomocy technicznej w okienku szczegółów w polu Pomoc techniczna , w którym znajduje się nazwa firmy Microsoft lub partnera. Przykład:

Zrzut ekranu przedstawiający miejsce znalezienia modelu pomocy technicznej dla rozwiązania.

Podczas kontaktowania się z pomocą techniczną mogą być potrzebne inne szczegóły dotyczące rozwiązania, takie jak wartości wydawcy, dostawcy i identyfikatora planu. Te informacje można znaleźć na stronie szczegółów na karcie Informacje o użyciu & pomocy technicznej .

Zrzut ekranu przedstawiający szczegóły użycia i pomocy technicznej dla rozwiązania.

Następne kroki

W tym dokumencie przedstawiono sposób znajdowania i wdrażania wbudowanych rozwiązań oraz zawartości autonomicznej dla Microsoft Sentinel.

Wiele rozwiązań obejmuje łączniki danych, które należy skonfigurować, aby można było rozpocząć pozyskiwanie danych do Microsoft Sentinel. Każdy łącznik danych ma własny zestaw wymagań, które są szczegółowo opisane na stronie łącznika danych w Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Łączenie źródła danych.

  • Last updated on