Udostępnij za pośrednictwem

Zmiany centralizacji zawartości domyślnej usługi Microsoft Sentinel

Centrum zawartości usługi Microsoft Sentinel umożliwia odnajdywanie i instalację na żądanie zawartości i rozwiązań gotowej do użycia (OOTB) w jednym kroku. Wcześniej część tej zawartości OOTB istniała tylko w różnych sekcjach galerii usługi Microsoft Sentinel. Teraz wszystkie następujące szablony zawartości galerii są dostępne w centrum zawartości jako elementy autonomiczne lub w ramach spakowanych rozwiązań:

  • Łączniki danych
  • Szablony reguł analizy
  • Zapytania dotyczące wyszukiwania zagrożeń
  • Szablony podręczników
  • Szablony skoroszytów

Zmiany centrum zawartości

Aby scentralizować całą zawartość OOTB, wycofaliśmy szablony zawartości tylko z galerii. Starsze szablony zawartości galerii nie są już stale aktualizowane, a centrum zawartości jest miejscem, w którym zawartość OOTB pozostaje aktualna. Centrum zawartości udostępnia również zaktualizowane przepływy pracy dla rozwiązań i aktualizacji automatycznych dla zawartości autonomicznej.

Aby ułatwić to przejście, opublikowaliśmy centralne narzędzie do przywrócenia szablonów IN USE wycofanych z odpowiednich rozwiązań centrum zawartości.

Przywróć status DO UŻYTKU wycofanym szablonom za pomocą centralnego narzędzia.

Teraz, gdy zmiany centralizacji centrum zawartości zostały ukończone, poniżej przedstawiono omówienie sposobu ukończenia procesu ponownego przywrócenia centralnego narzędzia.

  1. Wybierz link na banerze ostrzegawczym, aby przywrócić wycofane szablony zawartości IN USE, przeznaczone tylko dla galerii.

    Ten zrzut ekranu przedstawia przykład baneru ostrzegawczego znalezionego w galerii Skoroszyty . Zrzut ekranu przedstawiający pomarańczowy baner ostrzegawczy z linkiem umożliwiającym zainicjowanie narzędzia centralnego.

  2. Wybierz link i uważnie przeczytaj stronę.

  3. Wybierz pozycję Kontynuuj i przejrzyj listę zawartości wygenerowanej przez narzędzie.

    Zrzut ekranu przedstawia centralną stronę narzędzia zawierającą szczegółowe informacje na temat sposobu korzystania z niego.

  4. Wybierz pozycję Ukończ centralizację , aby rozpocząć instalację. Zaznaczenie jest stałe i nie można go zmienić.

    Zrzut ekranu przedstawiający listę zawartości generowanej przez narzędzie.

Zmiana strony łącznika danych

Wszystkie łączniki danych są teraz częścią rozwiązania. Wcześniej, aby podwyższyć poziom wizualizacji pulpitu nawigacyjnego (nazywane teraz skoroszytami) i udostępnić przykładowe zapytania KQL, dołączyliśmy kilka z tych elementów na karcie Następne kroki na stronie łącznika danych. Wycofaliśmy część Następne kroki strony łącznika danych na rzecz nowego sposobu zarządzania treścią rozwiązania, w którym wszystkie składniki rozwiązania są teraz zarządzane w powiązaniu z łącznikiem danych.

Kluczem do doświadczenia zaktualizowanego zachowania jest rozpoczęcie od centrum zawartości. Aby porównać poprzednie zachowanie z nowym środowiskiem, zapoznaj się z łącznikiem danych Aktywność Azure. Po zainstalowaniu rozwiązania z centrum zawartości i wybraniu pozycji Zarządzaj całe rozwiązanie jest dostępne do inspekcji. Jeśli chcesz utworzyć wizualizację łącznika danych aktywności platformy Azure, wyświetl szablon skoroszytu. Jeśli chcesz zobaczyć zapytania KQL, zacznij od tabeli danych. W przypadku zapytań zaawansowanych zapoznaj się z regułami analizy i zapytaniami monitorującymi.

Aby uzyskać więcej informacji na temat zachowania zawartości nowego rozwiązania, zobacz Odnajdywanie i wdrażanie zawartości OOTB.

Jeśli szukasz konkretnego przykładowego zapytania dotyczącego łącznika danych innej firmy, nadal publikujemy je w naszym indeksie Wszystkie łączniki . Na przykład poniżej przedstawiono przykładowe zapytania dotyczące łącznika Jamf Protect.

Zmiany związane z Microsoft Sentinel i GitHub

Usługa Microsoft Sentinel ma oficjalne repozytorium GitHub przeznaczone do współtworzenia treści zweryfikowanych przez firmę Microsoft i społeczność. Jest to źródło większości elementów zawartości w centrum zawartości.

W celu spójnego odnajdywania tej zawartości zmiany centralizacji zawartości OOTB zostały już rozszerzone do repozytorium GitHub usługi Microsoft Sentinel:

  • Wszystkie pakiety zawartości OOTB z rozwiązań centrum zawartości są teraz przechowywane w folderze Rozwiązania repozytorium GitHub.
  • Wszystkie autonomiczne elementy zawartości OOTB pozostaną w odpowiednich lokalizacjach.

Te zmiany w centrum zawartości i repozytorium GitHub usługi Microsoft Sentinel zakończą podróż w kierunku scentralizowanej zawartości usługi Microsoft Sentinel.

Kiedy nadchodzi ta zmiana?

Zmiany centralizacji zostały opublikowane! Zmiany w repozytorium GitHub w Microsoft Sentinel zostały już wprowadzone. Zawartość autonomiczna jest dostępna w istniejących folderach GitHub, a zawartość rozwiązania została przeniesiona do folderu Solutions .

Zmiana karty Następne kroki została już ukończona.

Zakres zmian

Ta zmiana jest ograniczona tylko do typu zawartości galerii szablonów. Wszystkie te same szablony i więcej zawartości OOTB są dostępne w centrum zawartości jako rozwiązania lub zawartość autonomiczna.

W przypadku repozytorium GitHub usługi Microsoft Sentinel zawartość OOTB spakowana w rozwiązaniach w centrum zawartości jest teraz wyświetlana tylko w folderze Rozwiązania repozytorium GitHub. Pozostała istniejąca zawartość usługi GitHub jest ograniczona do następujących folderów i zawiera tylko autonomiczne elementy zawartości. Zawartość w pozostałych folderach GitHub, które nie zostały wymienione na tej liście, nie ma żadnych zmian.

Co się nie zmienia?

Ta zmiana nie ma wpływu na aktywne lub niestandardowe elementy (utworzone na podstawie szablonów lub w inny sposób). W szczególności ta zmiana nie ma wpływu na następujące elementy:

  • Łączniki danych ze stanem = Połączono.
  • Reguły alertów lub wykrycia (włączone lub wyłączone) na karcie Aktywne reguły w galerii analiz.
  • Zapisane skoroszyty na karcie Moje skoroszyty w galerii skoroszytów.
  • Zawartość sklonowana lub Niestandardowe źródło zawartości = w galerii tropienia.
  • Aktywne podręczniki (włączone lub wyłączone) na karcie Aktywne podręczniki w galerii automatyzacji.

Ta zmiana nie ma również wpływu na żadne standardowe szablony zawartości zainstalowane z centrum zawartości (możliwe do zidentyfikowania jako Źródło zawartości = Centrum zawartości).

Co się zmienia?

Wszystkie galerie szablonów wyświetlają teraz baner ostrzegawczy w produkcie. Ten baner zawiera link do narzędzia, które będzie działać w portalu usługi Microsoft Sentinel. Aktywowanie narzędzia powoduje uruchomienie środowiska z przewodnikiem w celu przywrócenia szablonów zawartości dla szablonów IN USE wycofanych z centrum zawartości.

To narzędzie musi być uruchamiane tylko raz dla każdego obszaru roboczego, dlatego pamiętaj, aby zaplanować akcję w organizacji. Po pomyślnym uruchomieniu narzędzia baner ostrzegawczy zniknie z galerii szablonów tego obszaru roboczego.

W poniższej tabeli wymieniono konkretny wpływ na szablony zawartości dla każdej z tych galerii. Spodziewaj się tych zmian, ponieważ centralizacja zawartości OOTB jest już aktywna.

Typ zawartości Wpływ
Łączniki danych Szablony identyfikowane jako Źródło zawartości = Zawartość galerii oraz Status = Nie połączono nie będą już wyświetlane w galerii łączników danych.
Analytics Szablony identyfikowane jako nazwa źródła = zawartość galerii nie będą już wyświetlane w galerii analiz.
Polowanie Szablony z źródłem zawartości = zawartością galerii nie będą już wyświetlane w galerii polowań.
Podręczniki Szablony identyfikowane jako nazwa źródła = zawartość galerii nie będą już wyświetlane w galerii podręczników automatyzacji.
Zeszyty ćwiczeń Szablony z źródłem zawartości = zawartością galerii nie będą już wyświetlane w galerii skoroszytów.

Oto przykład reguły analitycznej przed i po zmianach centralizacji oraz po uruchomieniu narzędzia:

  • Aktywna reguła analizy w ogóle nie ulegnie zmianie. Opiera się na szablonie reguły analitycznej, który zostanie wycofany.

    Zrzut ekranu przedstawiający aktywną regułę analizy przed zmianami centralizacji.

    Ten zrzut ekranu przedstawia szablon reguły analizy, który zostanie wycofany.

    Zrzut ekranu przedstawiający szablon reguły analizy, który zostanie wycofany.

  • Po uruchomieniu narzędzia w celu przywrócenia szablonu reguły analitycznej, źródło zostanie zmienione na rozwiązanie, z którego zostało przywrócone.

    Zrzut ekranu przedstawiający szablon reguły analizy po przywróceniu z centrum treści rozwiązania Microsoft Entra.

Wymagana akcja

  • Zainstaluj nową zawartość OOTB z centrum zawartości i zaktualizuj rozwiązania zgodnie z potrzebami, aby mieć najnowsze wersje szablonów.
  • W przypadku istniejących szablonów zawartości galerii, pobierz przyszłe aktualizacje, instalując rozwiązania lub autonomiczne elementy zawartości z centrum zawartości. Zawartość galerii w galeriach tematycznych może być nieaktualna.
  • Jeśli masz aplikacje lub procesy, które bezpośrednio pobierają zawartość OOTB z repozytorium GitHub usługi Microsoft Sentinel, zaktualizuj lokalizacje, aby zawierały pobieranie zawartości OOTB z folderu Solutions oprócz istniejących folderów zawartości.
  • Zaplanuj z organizacją, kto uruchomi narzędzie, a kiedy, teraz, gdy baner ostrzegawczy i zmiany będą aktywne. Narzędzie musi być uruchamiane raz w obszarze roboczym, aby przywrócić wszystkie szablony IN USE wycofane z centrum zawartości.
  • Zapoznaj się z poniższymi często zadawanmi pytaniami, aby dowiedzieć się więcej szczegółów, które mogą dotyczyć twojego środowiska.

Centralizacja zawartości — często zadawane pytania

Czy ta zmiana wpłynie na generowanie alertów SOC lub generowanie zdarzeń i zarządzanie nimi?

Nie. Nie ma wpływu na aktywne reguły alertów lub wykrycia, aktywne scenariusze, sklonowane zapytania do wyszukiwania zagrożeń lub zapisane skoroszyty robocze. Zmiana centralizacji zawartości OOTB nie wpłynie na bieżące generowanie zdarzeń i procesy zarządzania.

Czy istnieją wyjątki dotyczące zawartości galerii?

Tak. Następujące typy szablonów reguł analizy są wykluczone z tej zmiany:

  • Szablony reguł anomalii
  • Szablony reguł łączenia
  • Szablony reguł analizy zachowań z wykorzystaniem uczenia maszynowego
  • Szablony reguł zabezpieczeń firmy Microsoft (tworzenie incydentów)
  • Szablony reguł analizy zagrożeń

Czy ta zmiana wpłynie na dowolny z interfejsów API?

Tak. Obecnie jedynymi wywołaniami interfejsu API REST usługi Microsoft Sentinel, które istnieją na potrzeby zarządzania szablonami zawartości, są Get i List operacje dla szablonów reguł alertów. Te operacje dotyczą tylko szablonów zawartości galerii i nie zostaną zaktualizowane. Aby uzyskać więcej informacji na temat tych operacji, zobacz bieżącą dokumentację interfejsu API REST szablonów reguł alertów.

Nowe operacje interfejsu API REST w centrum zawartości będą wkrótce dostępne w celu szerszego włączenia scenariuszy zarządzania zawartością OOTB. Ta aktualizacja interfejsu API będzie obejmować operacje dla tych samych typów zawartości związanych ze zmianami centralizacji (łączniki danych, szablony planów działania, szablony skoroszytów, szablony reguł analizy, zapytania związane z polowaniem na zagrożenia). Mechanizm aktualizowania szablonów reguł analizy zainstalowanych w obszarze roboczym znajduje się również w harmonogramie działania.

Wymagana akcja: Zaplanuj aktualizowanie aplikacji i procesów w celu korzystania z nowych operacji interfejsu API zarządzania zawartością OOTB w centrum zawartości, gdy są one dostępne. Pierwotnie wyraziliśmy, że będzie to dostępne w kwartale 2023 r., ale nie są jeszcze gotowe.

W jaki sposób centralne narzędzie będzie identyfikować szablony zawartości OOTB w użyciu?

Narzędzie tworzy listę rozwiązań na podstawie dwóch kryteriów: łączników danych ze stanem = połączonym i W UŻYCIU szablonów podręczników. Po utworzeniu proponowanej listy rozwiązań narzędzie wyświetli listę do zatwierdzenia. Jeśli lista zostanie zatwierdzona, narzędzie zainstaluje wszystkie te rozwiązania. Ponieważ zawartość OOTB jest przywracana bazując na rozwiązaniach, możesz uzyskać więcej szablonów niż faktycznie używasz.

To centralne narzędzie jest najlepszym rozwiązaniem w celu przywrócenia szablonów zawartości IN USE OOTB z centrum zawartości. Możesz zainstalować pominiętą zawartość OOTB bezpośrednio z centrum zawartości.

Co zrobić, jeśli używam interfejsów API do łączenia źródeł danych w obszarze roboczym usługi Microsoft Sentinel?

Obecnie jeśli połączenie danych interfejsu API jest zgodne z typem danych łącznika danych, będzie ono wyświetlane jako Stan = Połączone w galerii łączników danych. Po zmianie centralizacji należy zainstalować konkretny łącznik danych z odpowiedniego rozwiązania w celu uzyskania tego samego zachowania.

Wymagana akcja: Zaplanuj aktualizowanie procesów lub narzędzi dla wdrożeń łącznika danych w celu zainstalowania z rozwiązań centrum zawartości przed nawiązaniem połączenia z interfejsami API pozyskiwania danych. Operator interfejsu API REST do instalowania rozwiązania pojawi się w kwartale 2023 r. przy użyciu interfejsów API zarządzania zawartością OOTB.

Co zrobić, jeśli pracuję z zawartością przy użyciu funkcji repozytoriów w usłudze Microsoft Sentinel?

Repozytoria specjalnie wdrażają zawartość niestandardową lub aktywną w usłudze Microsoft Sentinel. Zmiany centralizacji zawartości OOTB nie będą mieć wpływu na zawartość wdrożoną za pośrednictwem funkcji repozytoriów.

Czy ma to wpływ na grupy wdrożeń w menedżerze obszarów roboczych?

Podobnie jak repozytoria, menedżer obszaru roboczego wdraża tylko zawartość niestandardową lub aktywną, więc zmiany centralizacji zawartości OOTB nie będą mieć wpływu na zawartość wdrożoną za pośrednictwem menedżera obszarów roboczych.

Dalsze kroki

Zapoznaj się z tymi innymi zasobami dotyczącymi zawartości OOTB i centrum zawartości: