Udostępnij za pośrednictwem

Odkrywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Centrum zawartości usługi Microsoft Sentinel to centralna lokalizacja do odnajdywania gotowej zawartości (wbudowanej) i zarządzania nią. W tym miejscu znajdziesz spakowane rozwiązania dla produktów end-to-end według domeny lub branży. Masz dostęp do ogromnej liczby samodzielnych wkładów hostowanych w naszym repozytorium GitHub oraz modułach funkcji.

  • Odkryj rozwiązania i zawartość autonomiczną z spójnym zestawem funkcji filtrowania na podstawie stanu, typu zawartości, pomocy technicznej, dostawcy i kategorii.

  • Zainstaluj zawartość w obszarze roboczym jednocześnie lub indywidualnie.

  • Wyświetl zawartość w widoku listy i szybko zobacz, które rozwiązania mają aktualizacje. Aktualizuj rozwiązania jednocześnie, a zawartość aktualizuje się automatycznie.

  • Zarządzanie rozwiązaniem w celu zainstalowania typów zawartości i pobrania najnowszych zmian.

  • Skonfiguruj niezależną zawartość, aby utworzyć nowe aktywne elementy na podstawie najnowszego szablonu up-to.

Jeśli jesteś partnerem, który chce utworzyć własne rozwiązanie, zobacz Przewodnik tworzenia i publikowania rozwiązań usługi Microsoft Sentinel .

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., usługa Microsoft Sentinel będzie obsługiwana tylko w portalu usługi Defender, a wszyscy pozostali klienci korzystający z witryny Azure Portal będą automatycznie przekierowywani.

Zalecamy, aby wszyscy klienci korzystający z usługi Microsoft Sentinel na platformie Azure zaczęli planować przejście do portalu usługi Defender w celu uzyskania pełnego ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz Planning your move to Microsoft Defender portal for all Microsoft Sentinel customers (Planowanie przeniesienia do portalu usługi Microsoft Defender dla wszystkich klientów usługi Microsoft Sentinel).

Wymagania wstępne

Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.

Aby uzyskać więcej informacji na temat innych ról i uprawnień obsługiwanych w usłudze Microsoft Sentinel, zobacz Uprawnienia w usłudze Microsoft Sentinel.

Odnajdywanie zawartości

Centrum zawartości oferuje najlepszy sposób znajdowania nowej zawartości lub zarządzania już zainstalowanymi rozwiązaniami.

  1. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz Microsoft Sentinel>, Zarządzanie zawartością>, Centrum zawartości. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.

    Na stronie Centrum zawartości jest wyświetlana siatka z możliwością wyszukiwania lub lista rozwiązań i zawartości autonomicznej.

  2. Wyszukaj potrzebne rozwiązania lub autonomiczne elementy zawartości. Wybierz określone wartości z filtrów lub wprowadź termin wyszukiwania w polu Wyszukiwania . Wyszukiwania używają sztucznej inteligencji do obsługi wyszukiwania rozmytego i przybliżonego słownictwa.

    Podczas wyszukiwania naciśnij ENTER , aby rozpocząć wyszukiwanie. Liczba wyników wyszukiwania jest ograniczona do 50 elementów, w tym rozwiązań i elementów zawartości znalezionych w rozwiązaniach. Jeśli nie znajdziesz szukanego elementu, spróbuj udoskonalić wyrażenie wyszukiwania lub użyć różnych filtrów.

    Aby uzyskać więcej informacji, zobacz Kategorie gotowej zawartości i rozwiązań usługi Microsoft Sentinel.

  3. W widoku listy ( ) wybierz rozwiązanie z listy, aby wyświetlić informacje o rozwiązaniu, a także typy elementów zawartości, które zawiera.

    Rozwiń rozwiązanie w wynikach wyszukiwania lub filtrowania, aby wyświetlić listę elementów zawartości, które zawiera. Okienko informacji po stronie przedstawia szczegółowe informacje o elemencie zawartości.

    Alternatywnie wybierz widok karty ( ), aby wyświetlić rozwiązania przedstawione w siatce. Każda karta zawiera nazwę rozwiązania, opis i kategorie. Wybierz kartę, aby wyświetlić więcej informacji o rozwiązaniu po stronie.

Aby użyć elementu zawartości będącego częścią rozwiązania, należy zainstalować całe rozwiązanie. Jeśli wybrano określony element zawartości w widoku listy, wybierz pozycję Zainstaluj rozwiązanie w okienku szczegółów po stronie, aby zainstalować odpowiednie rozwiązanie.

Aby uzyskać więcej informacji, zobacz Kategorie gotowej zawartości i rozwiązań usługi Microsoft Sentinel.

Instalowanie lub aktualizowanie zawartości

Zainstaluj autonomiczną zawartość i rozwiązania pojedynczo lub zbiorczo. Aby uzyskać więcej informacji na temat operacji zbiorczych, zobacz Zbiorcze instalowanie i aktualizowanie zawartości w następnej sekcji.

Jeśli wdrożone rozwiązanie zawiera aktualizacje od czasu jego ostatniego wdrożenia, w widoku listy zostanie wyświetlona pozycja Aktualizuj w kolumnie stan. Rozwiązanie jest również uwzględniane w liczbie aktualizacji w górnej części strony.

Oto przykład przedstawiający instalację pojedynczego rozwiązania.

  1. W centrum zawartości wyszukaj i wybierz rozwiązanie.

  2. W okienku szczegółów rozwiązań w prawym dolnym rogu wybierz pozycję Wyświetl szczegóły.

  3. Wybierz pozycję Utwórz lub zaktualizuj.

  4. Na karcie Podstawy wprowadź subskrypcję, grupę zasobów i obszar roboczy, aby wdrożyć rozwiązanie. Przykład:

    Zrzut ekranu kreatora instalacji rozwiązania, pokazujący kartę Podstawowe.

  5. Wybierz przycisk Dalej , aby przejść przez pozostałe karty, aby dowiedzieć się więcej, a w niektórych przypadkach skonfigurować poszczególne składniki zawartości.

    Zakładki są zgodne z treścią oferowaną przez rozwiązanie. Różne rozwiązania mogą mieć różne typy zawartości, więc w każdym rozwiązaniu mogą nie być widoczne te same karty.

    Może zostać również wyświetlony monit o wprowadzenie poświadczeń do usługi niezwiązanej z Microsoft, aby Microsoft Sentinel mógł uwierzytelnić się w Twoich systemach. Na przykład w przypadku podręczników możesz chcieć podjąć działania zgodnie z zaleceniami systemowymi.

  6. Na karcie Review + create poczekaj na komunikat Validation Passed.

  7. Wybierz pozycję Utwórz lub Aktualizuj , aby wdrożyć rozwiązanie. Możesz również wybrać link Pobierz szablon automatyzacji , aby wdrożyć rozwiązanie jako kod.

Instalowanie za pomocą zależności

Pewne rozwiązania mają zależności do zainstalowania, w tym wiele rozwiązań domenowych oraz rozwiązania korzystające z ujednoliconych łączników AMA dla formatu CEF, Syslog lub dzienników niestandardowych.

W takich przypadkach wybierz pozycję Zainstaluj z zależnościami , aby upewnić się, że wymagane łączniki danych są również zainstalowane. W tym miejscu wybierz co najmniej jedną zależność, aby je zainstalować wraz z oryginalnym rozwiązaniem. Oryginalne rozwiązanie wybrane do zainstalowania jest zawsze wybierane domyślnie.

Jeśli co najmniej jedno rozwiązanie zależności jest już zainstalowane, ale ma aktualizacje, użyj przycisku Zainstaluj/Aktualizuj , aby zainstalować i zaktualizować wszystkie wybrane rozwiązania zbiorczo. Przykład:

Zrzut ekranu przedstawiający zbiorcze instalowanie wielu zależności rozwiązania.

Po zainstalowaniu rozwiązania każdy typ zawartości w rozwiązaniu może wymagać wykonania dodatkowych kroków. Aby uzyskać więcej informacji, zobacz Włączanie elementów zawartości w rozwiązaniu.

Zbiorcze instalowanie i aktualizowanie zawartości

Centrum zawartości obsługuje widok listy oprócz domyślnego widoku karty. Wybierz widok listy, aby zainstalować wiele rozwiązań i autonomiczną zawartość jednocześnie. Zawartość autonomiczna jest przechowywana up-to-date automatycznie. Każda aktywna lub niestandardowa zawartość utworzona na podstawie rozwiązań lub autonomicznej zawartości zainstalowanej z centrum zawartości pozostaje nietknięta.

  1. Aby zbiorczo zainstalować lub zaktualizować elementy, przejdź do widoku listy.

  2. Wyszukaj lub filtruj, aby znaleźć zawartość, którą chcesz zainstalować lub zaktualizować zbiorczo.

  3. Zaznacz pole wyboru dla każdego rozwiązania lub autonomicznej zawartości, którą chcesz zainstalować lub zaktualizować.

  4. Wybierz przycisk Zainstaluj/Aktualizuj . Zrzut ekranu przedstawiający widok listy rozwiązań z wieloma rozwiązaniami wybranymi i w toku instalacji.

    Jeśli wybrane rozwiązanie lub autonomiczna zawartość została już zainstalowana lub zaktualizowana, nie zostanie podjęta żadna akcja dla tego elementu. Nie zakłóca aktualizacji i instalowania innych elementów.

  5. Wybierz pozycję Zarządzaj dla każdego zainstalowanego rozwiązania. Typy zawartości w rozwiązaniu mogą wymagać dodatkowych informacji do skonfigurowania. Aby uzyskać więcej informacji, zobacz Włączanie elementów zawartości w rozwiązaniu.

Instalowanie pakietów i szablonów przy użyciu interfejsu API

Jeśli używasz interfejsu API do instalowania pakietów rozwiązań lub poszczególnych szablonów, wykonaj następujące kroki:

  1. Pobierz pakiet rozwiązania lub szablon:

  2. Znajdź pole properties.mainTemplate w odpowiedzi interfejsu API. To pole zawiera kod JSON szablonu usługi ARM, który definiuje zasoby rozwiązania lub szablonu.

  3. Wdróż wyodrębnione mainTemplate za pomocą wdrożenia szablonu ARM, korzystając z interfejsu API REST, interfejsu wiersza polecenia Azure CLI lub programu PowerShell.

Włącz elementy treści w rozwiązaniu

Centralnie zarządzaj elementami zawartości dla zainstalowanych rozwiązań z centrum zawartości.

  1. W centrum zawartości wybierz zainstalowane rozwiązanie, w którym wersja to 2.0.0 lub nowsza.

  2. Na stronie szczegółów rozwiązań wybierz pozycję Zarządzaj.

    Zrzut ekranu przedstawiający przycisk zarządzaj na stronie szczegółów rozwiązania centrum zawartości działania platformy Azure.

  3. Przejrzyj listę elementów zawartości.

    Zrzut ekranu przedstawiający opis rozwiązania i listę elementów zawartości dla rozwiązania Działania platformy Azure.

  4. Wybierz element zawartości, aby rozpocząć pracę.

Zarządzanie poszczególnymi typami zawartości

W poniższych sekcjach przedstawiono wskazówki dotyczące pracy z różnymi typami zawartości podczas zarządzania rozwiązaniem.

Łącznik danych

Aby połączyć łącznik danych, wykonaj kroki konfiguracji.

  1. Wybierz pozycję Otwórz stronę łącznika.

  2. Wykonaj kroki konfiguracji łącznika danych.

    Zrzut ekranu przedstawiający element zawartości łącznika danych dla rozwiązania Azure Activity o stanie rozłączonym.

    Po skonfigurowaniu łącznika danych i wykryciu dzienników, stan zmieni się na Połączono.

Reguła analizy

Utwórz regułę na podstawie szablonu lub edytuj istniejącą regułę.

  1. Wyświetl szablon w galerii szablonów analizy.

  2. Jeśli szablon nie jest jeszcze używany, wybierz Otwórz>Utwórz regułę i wykonaj kroki, aby włączyć regułę analityczną.

    Po utworzeniu reguły liczba aktywnych reguł utworzonych na podstawie szablonu jest wyświetlana w kolumnie Utworzona zawartość .

  3. Wybierz link aktywnych reguł do edycji istniejącej reguły. Na przykład link aktywnej reguły na poniższej ilustracji znajduje się w obszarze Zawartość utworzona i pokazuje 2 elementy.

    Zrzut ekranu przedstawiający element zawartości reguły analizy w rozwiązaniu dla działania platformy Azure.

Zapytanie dotyczące polowania na zagrożenia

Uruchom podane zapytanie wykrywania lub dostosuj je.

  1. Aby rozpocząć wyszukiwanie od razu, wybierz pozycję Uruchom zapytanie na stronie szczegółów, aby uzyskać szybkie wyniki.

    Zrzut ekranu przedstawiający sklonowany element zawartości zapytania wyszukiwania zagrożeń w rozwiązaniu dla działania platformy Azure.

  2. Aby dostosować zapytanie dotyczące monitorowania, wybierz link w kolumnie Nazwa zawartości.

    Z galerii wyszukiwania zagrożeń możesz utworzyć klon szablonu zapytania wyszukiwania tylko do odczytu, przechodząc do menu wielokropka. Zapytania łowieckie utworzone w ten sposób są wyświetlane jako elementy w centrum treści w kolumnie Utworzona zawartość.

Zeszyt ćwiczeń

Aby dostosować skoroszyt utworzony na podstawie szablonu, utwórz wystąpienie skoroszytu.

  1. Wybierz pozycję Wyświetl szablon , aby otworzyć skoroszyt i wyświetlić wizualizacje.

  2. Wybierz Zapisz, aby utworzyć instancję szablonu skoroszytu.

  3. Wyświetl zapisany skoroszyt możliwy do dostosowania, wybierając pozycję Wyświetl zapisany skoroszyt.

  4. W centrum zawartości wybierz link 1 element w kolumnie Utworzone treści, aby zarządzać skoroszytem.

    Zrzut ekranu przedstawiający zapisany element skoroszytu w rozwiązaniu dla działania platformy Azure.

Analizator składniowy

Po zainstalowaniu rozwiązania wszystkie dołączone analizatory są dodawane jako funkcje obszaru roboczego w usłudze Log Analytics.

  1. Wybierz pozycję Załaduj kod funkcji, aby otworzyć usługę Log Analytics i wyświetlić lub uruchomić kod funkcji.

  2. Wybierz pozycję Użyj w edytorze , aby otworzyć usługę Log Analytics z nazwą analizatora gotową do dodania do zapytania niestandardowego.

    Zrzut ekranu przedstawiający typ zawartości analizatora w rozwiązaniu.

Podręcznik

Tworzenie podręcznika na podstawie szablonu.

  1. Wybierz link Nazwa zawartości podręcznika.

  2. Wybierz szablon i wybierz pozycję Utwórz podręcznik.

  3. Po utworzeniu podręcznika aktywny podręcznik zostanie wyświetlony w kolumnie Utworzona zawartość .

  4. Wybierz link aktywnego elementu playbook 1 , aby zarządzać podręcznikiem.

    Zrzut ekranu przedstawiający typ zawartości typu podręcznika w rozwiązaniu.

Znajdź model wsparcia dla swoich treści

Każde rozwiązanie i autonomiczny element zawartości wyjaśnia swój model pomocy technicznej w okienku szczegółów w polu Pomoc techniczna , w którym znajduje się nazwa firmy Microsoft lub partnera. Przykład:

Zrzut ekranu przedstawiający miejsce, w którym można znaleźć model pomocy technicznej dla rozwiązania.

Podczas kontaktowania się z pomocą techniczną może być konieczne podanie innych szczegółów dotyczących rozwiązania, takich jak wydawca, dostawca i wartości identyfikatora planu. Znajdź te informacje na stronie szczegółów na karcie Informacje o użyciu i obsługa techniczna .

Zrzut ekranu przedstawiający szczegóły użycia i pomocy technicznej dla rozwiązania.

Dalsze kroki

W tym dokumencie przedstawiono sposób znajdowania i wdrażania wbudowanych rozwiązań i zawartości autonomicznej dla usługi Microsoft Sentinel.

Wiele rozwiązań obejmuje łączniki danych, które należy skonfigurować, aby umożliwić rozpoczęcie przesyłania danych do usługi Microsoft Sentinel. Każdy łącznik danych ma własny zestaw wymagań szczegółowych na stronie łącznika danych w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Łączenie źródła danych.