Udostępnij za pośrednictwem

Gotowe zmiany centralizacji zawartości usługi Microsoft Sentinel

  • Artykuł

Centrum zawartości usługi Microsoft Sentinel umożliwia odnajdywanie i instalację na żądanie zawartości i rozwiązań gotowej do użycia (OOTB) w jednym kroku. Wcześniej część tej zawartości OOTB istniała tylko w różnych sekcjach galerii usługi Microsoft Sentinel. Teraz wszystkie następujące szablony zawartości galerii są dostępne w centrum zawartości jako elementy autonomiczne lub w ramach spakowanych rozwiązań:

  • Łączniki danych
  • Szablony reguł analizy
  • Zapytania dotyczące wyszukiwania zagrożeń
  • Szablony podręczników
  • Szablony skoroszytów

Zmiany centrum zawartości

Aby scentralizować całą zawartość OOTB, wycofaliśmy szablony zawartości tylko z galerii. Starsze szablony zawartości galerii nie są już stale aktualizowane, a centrum zawartości jest miejscem, w którym zawartość OOTB pozostaje aktualna. Centrum zawartości udostępnia również zaktualizowane przepływy pracy dla rozwiązań i aktualizacji automatycznych dla zawartości autonomicznej.

Aby ułatwić to przejście, opublikowaliśmy centralne narzędzie do przywrócenia szablonów IN USE wycofanych z odpowiednich rozwiązań centrum zawartości.

Przywracanie funkcji IN USE wycofanych szablonów za pomocą narzędzia centralnego

Teraz, gdy zmiany centralizacji centrum zawartości zostały ukończone, poniżej przedstawiono omówienie sposobu ukończenia procesu ponownego przywrócenia centralnego narzędzia.

  1. Wybierz link na banerze ostrzegawczym, aby przywrócić szablony zawartości w funkcji USE wycofane, tylko dla galerii.

    Ten zrzut ekranu przedstawia przykład baneru ostrzegawczego znalezionego w galerii Skoroszyty . Screenshot showing orange warning banner with link to initiate central tool.

  2. Wybierz link i uważnie przeczytaj stronę.

  3. Wybierz pozycję Kontynuuj i przejrzyj listę zawartości wygenerowanej przez narzędzie.

    Screenshot shows central tool page including details on how to use it.

  4. Wybierz pozycję Ukończ centralizację , aby rozpocząć instalację. Zaznaczenie jest stałe i nie można go zmienić.

    Screenshot shows the list of content the tool generates.

Zmiana strony łącznika danych

Wszystkie łączniki danych są teraz częścią rozwiązania. Wcześniej, aby podwyższyć poziom wizualizacji pulpitu nawigacyjnego (nazywane teraz skoroszytami) i udostępnić przykładowe zapytania KQL, dołączyliśmy kilka z tych elementów na karcie Następne kroki na stronie łącznika danych. Przestarzaliśmy część następne kroki strony łącznika danych na rzecz nowego zachowania zawartości rozwiązania, w którym wszystkie składniki rozwiązania są zarządzane wraz z łącznikiem danych.

Kluczem do wystąpienia zaktualizowanego zachowania jest uruchomienie w centrum zawartości. Aby porównać poprzednie zachowanie z nowym środowiskiem, zapoznaj się z łącznikiem danych aktywności platformy Azure. Po zainstalowaniu rozwiązania z centrum zawartości i wybraniu pozycji Zarządzaj całe rozwiązanie jest dostępne do inspekcji. Jeśli chcesz utworzyć wizualizację łącznika danych aktywności platformy Azure, wyświetl szablon skoroszytu. Jeśli chcesz zobaczyć zapytania KQL, zacznij od tabeli danych. W przypadku zapytań zaawansowanych zapoznaj się z regułami analizy i zapytaniami wyszukiwania zagrożeń.

Aby uzyskać więcej informacji na temat zachowania zawartości nowego rozwiązania, zobacz Odnajdywanie i wdrażanie zawartości OOTB.

Jeśli szukasz konkretnego przykładowego zapytania dotyczącego łącznika danych innej firmy, nadal publikujemy je w naszym indeksie Wszystkie łączniki . Na przykład poniżej przedstawiono przykładowe zapytania dotyczące łącznika Jamf Protect.

Zmiany usługi GitHub w usłudze Microsoft Sentinel

Usługa Microsoft Sentinel ma oficjalne repozytorium GitHub na potrzeby współtworzenia przez społeczność zweryfikowanych przez firmę Microsoft i społeczność. Jest to źródło większości elementów zawartości w centrum zawartości.

W celu spójnego odnajdywania tej zawartości zmiany centralizacji zawartości OOTB zostały już rozszerzone do repozytorium GitHub usługi Microsoft Sentinel:

  • Wszystkie pakiety zawartości OOTB z rozwiązań centrum zawartości są teraz przechowywane w folderze Rozwiązania repozytorium GitHub.
  • Wszystkie autonomiczne elementy zawartości OOTB pozostaną w odpowiednich lokalizacjach.

Te zmiany w centrum zawartości i repozytorium GitHub usługi Microsoft Sentinel zakończą podróż w kierunku scentralizowanej zawartości usługi Microsoft Sentinel.

Kiedy nadchodzi ta zmiana?

Zmiany centralizacji zostały wydane! Zmiany usługi GitHub w usłudze Microsoft Sentinel zostały już wprowadzone. Zawartość autonomiczna jest dostępna w istniejących folderach GitHub, a zawartość rozwiązania została przeniesiona do folderu Solutions .

Zmiana karty Następne kroki została już ukończona.

Zakres zmian

Ta zmiana jest ograniczona tylko do typu zawartości galerii szablonów. Wszystkie te same szablony i więcej zawartości OOTB są dostępne w centrum zawartości jako rozwiązania lub zawartość autonomiczna.

W przypadku repozytorium GitHub usługi Microsoft Sentinel zawartość OOTB spakowana w rozwiązaniach w centrum zawartości jest teraz wyświetlana tylko w folderze Rozwiązania repozytorium GitHub. Pozostała istniejąca zawartość usługi GitHub jest ograniczona do następujących folderów i zawiera tylko autonomiczne elementy zawartości. Zawartość w pozostałych folderach GitHub, które nie zostały wymienione na tej liście, nie ma żadnych zmian.

Co się nie zmienia?

Ta zmiana nie ma wpływu na aktywne lub niestandardowe elementy (utworzone na podstawie szablonów lub w inny sposób). W szczególności ta zmiana nie ma wpływu na następujące elementy:

  • Łączniki danych ze stanem = Połączenie ed.
  • Reguły alertów lub wykrycia (włączone lub wyłączone) na karcie Aktywne reguły w galerii analiz.
  • Zapisane skoroszyty na karcie Moje skoroszyty w galerii skoroszytów.
  • Sklonowana zawartość lub Źródło = zawartości Niestandardowe w galerii wyszukiwania zagrożeń.
  • Aktywne podręczniki (włączone lub wyłączone) na karcie Aktywne podręczniki w galerii automatyzacji.

Ta zmiana nie ma również wpływu na żadne szablony zawartości OOTB zainstalowane z centrum zawartości (możliwe do zidentyfikowania jako centrum zawartości źródła = zawartości).

Co się zmienia?

Wszystkie galerie szablonów wyświetlają teraz baner ostrzegawczy w produkcie. Ten baner zawiera link do narzędzia, które będzie działać w portalu usługi Microsoft Sentinel. Aktywowanie narzędzia powoduje uruchomienie środowiska z przewodnikiem w celu przywrócenia szablonów zawartości dla szablonów IN USE wycofanych z centrum zawartości.

To narzędzie musi być uruchamiane tylko raz dla każdego obszaru roboczego, dlatego pamiętaj, aby zaplanować akcję w organizacji. Po pomyślnym uruchomieniu narzędzia baner ostrzegawczy zniknie z galerii szablonów tego obszaru roboczego.

W poniższej tabeli wymieniono konkretny wpływ na szablony zawartości dla każdej z tych galerii. Teraz spodziewaj się tych zmian, że centralizacja zawartości OOTB jest aktywna.

Typ zawartości Wpływ
Łączniki danych Szablony identyfikujące zawartość galerii źródeł = zawartości i Stan = Nie połączono nie będą już wyświetlane w galerii łączników danych.
Analiza Szablony identyfikujące zawartość galerii nazw = źródłowych nie będą już wyświetlane w galerii analiz.
Polowanie Szablony z zawartością galerii źródeł = zawartości nie będą już wyświetlane w galerii wyszukiwania zagrożeń.
Elementy playbook Szablony identyfikujące zawartość galerii nazw = źródłowych nie będą już wyświetlane w galerii podręczników automatyzacji.
Skoroszyty Szablony z zawartością galerii źródeł = zawartości nie będą już wyświetlane w galerii skoroszytów.

Oto przykład reguły analizy przed i po zmianie centralizacji, a narzędzie zostało uruchomione:

  • Aktywna reguła analizy w ogóle nie ulegnie zmianie. Jest on oparty na szablonie reguły analizy, który zostanie wycofany.

    Screenshot that shows an active analytics rule before centralization changes.

    Ten zrzut ekranu przedstawia szablon reguły analizy, który zostanie wycofany.

    Screenshot that shows the analytics rule template that will be retired.

  • Po uruchomieniu narzędzia w celu przywrócenia szablonu reguły analizy źródło zmieni się na rozwiązanie, z którego zostanie przywrócone.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

Wymagana akcja

  • Zainstaluj nową zawartość OOTB z centrum zawartości i zaktualizuj rozwiązania zgodnie z potrzebami, aby mieć najnowsze wersje szablonów.
  • W przypadku istniejących szablonów zawartości galerii, pobierz przyszłe aktualizacje, instalując rozwiązania lub autonomiczne elementy zawartości z centrum zawartości. Zawartość galerii w galeriach funkcji może być nieaktualna.
  • Jeśli masz aplikacje lub procesy, które bezpośrednio pobierają zawartość OOTB z repozytorium GitHub usługi Microsoft Sentinel, zaktualizuj lokalizacje, aby zawierały pobieranie zawartości OOTB z folderu Solutions oprócz istniejących folderów zawartości.
  • Zaplanuj z organizacją, kto uruchomi narzędzie, a kiedy, teraz, gdy baner ostrzegawczy i zmiany będą aktywne. Narzędzie musi być uruchamiane raz w obszarze roboczym, aby przywrócić wszystkie szablony IN USE wycofane z centrum zawartości.
  • Zapoznaj się z poniższymi często zadawanmi pytaniami, aby dowiedzieć się więcej szczegółów, które mogą dotyczyć twojego środowiska.

Centralizacja zawartości — często zadawane pytania

Czy ta zmiana wpłynie na generowanie alertów SOC lub generowanie zdarzeń i zarządzanie nimi?

Nie Nie ma wpływu na aktywne reguły alertów lub wykrycia, aktywne podręczniki, sklonowane zapytania wyszukiwania zagrożeń lub zapisane skoroszyty. Zmiana centralizacji zawartości OOTB nie wpłynie na bieżące generowanie zdarzeń i procesy zarządzania.

Czy istnieją wyjątki dotyczące zawartości galerii?

Tak. Następujące typy szablonów reguł analizy są wykluczone z tej zmiany:

  • Szablony reguł anomalii
  • Szablony reguł łączenia
  • Szablony reguł analizy zachowań uczenia maszynowego
  • Szablony reguł zabezpieczeń firmy Microsoft (tworzenie zdarzeń)
  • Szablony reguł analizy zagrożeń

Czy ta zmiana wpłynie na dowolny z interfejsów API?

Tak. Obecnie jedynymi wywołaniami interfejsu API REST usługi Microsoft Sentinel, które istnieją na potrzeby zarządzania szablonami zawartości, są Get operacje i List dla szablonów reguł alertów. Te operacje dotyczą tylko szablonów zawartości galerii i nie zostaną zaktualizowane. Aby uzyskać więcej informacji na temat tych operacji, zobacz bieżącą dokumentację interfejsu API REST szablonów reguł alertów.

Nowe operacje interfejsu API REST w centrum zawartości będą wkrótce dostępne w celu szerszego włączenia scenariuszy zarządzania zawartością OOTB. Ta aktualizacja interfejsu API będzie obejmować operacje dla tych samych typów zawartości w zakresie zmian centralizacji (łączniki danych, szablony podręczników, szablony skoroszytów, szablony reguł analizy, zapytania wyszukiwania zagrożeń). Mechanizm aktualizowania szablonów reguł analizy zainstalowanych w obszarze roboczym znajduje się również w harmonogramie działania.

Wymagane działanie: Zaplanuj aktualizowanie aplikacji i procesów w celu korzystania z nowych operacji interfejsu API zarządzania zawartością OOTB w centrum zawartości, gdy są one dostępne. Pierwotnie wyraziliśmy, że będzie to dostępne w kwartale 2023 r., ale nie są jeszcze gotowe.

W jaki sposób centralne narzędzie będzie identyfikować szablony zawartości OOTB w użyciu?

Narzędzie tworzy listę rozwiązań na podstawie dwóch kryteriów: łączników danych ze stanem = Połączenie ed i IN USE szablonów podręczników. Po utworzeniu proponowanej listy rozwiązań narzędzie wyświetli listę do zatwierdzenia. Jeśli lista zostanie zatwierdzona, narzędzie zainstaluje wszystkie te rozwiązania. Ponieważ zawartość OOTB jest przywracana na podstawie rozwiązań, możesz uzyskać więcej szablonów niż faktycznie używane.

To centralne narzędzie jest najlepszym rozwiązaniem w celu przywrócenia szablonów zawartości IN USE OOTB z centrum zawartości. Możesz zainstalować pominiętą zawartość OOTB bezpośrednio z centrum zawartości.

Co zrobić, jeśli używam interfejsów API do łączenia źródeł danych w obszarze roboczym usługi Microsoft Sentinel?

Obecnie jeśli połączenie danych interfejsu API jest zgodne z typem danych łącznika danych, będzie ono wyświetlane jako Stan = Połączenie w galerii łączników danych. Po zmianie centralizacji należy zainstalować konkretny łącznik danych z odpowiedniego rozwiązania w celu uzyskania tego samego zachowania.

Wymagane działanie: Zaplanuj aktualizowanie procesów lub narzędzi dla wdrożeń łącznika danych w celu zainstalowania z rozwiązań centrum zawartości przed nawiązaniem połączenia z interfejsami API pozyskiwania danych. Operator interfejsu API REST do instalowania rozwiązania pojawi się w kwartale 2023 r. przy użyciu interfejsów API zarządzania zawartością OOTB.

Co zrobić, jeśli pracuję z zawartością przy użyciu funkcji repozytoriów w usłudze Microsoft Sentinel?

Repozytoria wdrażają zawartość niestandardową lub aktywną w usłudze Microsoft Sentinel. Zmiany centralizacji zawartości OOTB nie będą mieć wpływu na zawartość wdrożoną za pośrednictwem funkcji repozytoriów.

Czy ma to wpływ na grupy wdrożeń w menedżerze obszarów roboczych?

Podobnie jak repozytoria, menedżer obszaru roboczego wdraża tylko zawartość niestandardową lub aktywną, więc zmiany centralizacji zawartości OOTB nie będą mieć wpływu na zawartość wdrożoną za pośrednictwem menedżera obszarów roboczych.

Następne kroki

Zapoznaj się z tymi innymi zasobami dotyczącymi zawartości OOTB i centrum zawartości: