Udostępnij za pośrednictwem

Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Centrum zawartości usługi Microsoft Sentinel to centralna lokalizacja do odnajdywania gotowej zawartości (wbudowanej) i zarządzania nią. W tym miejscu znajdziesz spakowane rozwiązania dla produktów end-to-end według domeny lub branży. Masz dostęp do ogromnej liczby autonomicznych współtworzeń hostowanych w naszym repozytorium GitHub i blokach funkcji.

  • Odkryj rozwiązania i zawartość autonomiczną z spójnym zestawem funkcji filtrowania na podstawie stanu, typu zawartości, pomocy technicznej, dostawcy i kategorii.

  • Zainstaluj zawartość w obszarze roboczym jednocześnie lub indywidualnie.

  • Wyświetl zawartość w widoku listy i szybko zobacz, które rozwiązania mają aktualizacje. Aktualizuj rozwiązania jednocześnie podczas automatycznego aktualizowania zawartości autonomicznej.

  • Zarządzanie rozwiązaniem w celu zainstalowania typów zawartości i pobrania najnowszych zmian.

  • Skonfiguruj zawartość autonomiczną, aby tworzyć nowe aktywne elementy na podstawie najbardziej aktualnego szablonu.

Jeśli jesteś partnerem, który chce utworzyć własne rozwiązanie, zobacz Przewodnik tworzenia i publikowania rozwiązań usługi Microsoft Sentinel.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.

Aby uzyskać więcej informacji na temat innych ról i uprawnień obsługiwanych w usłudze Microsoft Sentinel, zobacz Uprawnienia w usłudze Microsoft Sentinel.

Odkrywanie zawartości

Centrum zawartości oferuje najlepszy sposób znajdowania nowej zawartości lub zarządzania już zainstalowanymi rozwiązaniami.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>

    Na stronie Centrum zawartości jest wyświetlana siatka z możliwością wyszukiwania lub lista rozwiązań i zawartości autonomicznej.

  2. Przefiltruj wyświetlaną listę, wybierając określone wartości z filtrów lub wprowadzając dowolną część nazwy zawartości lub opisu w polu Wyszukaj .

    Aby uzyskać więcej informacji, zobacz Kategorie gotowej zawartości i rozwiązań usługi Microsoft Sentinel.

  3. Wybierz widok Karta, aby wyświetlić więcej informacji o rozwiązaniu.

    Każdy element zawartości zawiera kategorie, które mają zastosowanie do niego, a rozwiązania pokazują uwzględnione typy zawartości. Na przykład na poniższej ilustracji rozwiązanie Cisco Umbrella wyświetla jedną z jego kategorii jako Security — Cloud Security i wskazuje, że zawiera łącznik danych, reguły analizy, zapytania wyszukiwania zagrożeń, podręczniki i inne.

Instalowanie lub aktualizowanie zawartości

Zainstaluj autonomiczną zawartość i rozwiązania pojedynczo lub zbiorczo. Aby uzyskać więcej informacji na temat operacji zbiorczych, zobacz Zbiorcze instalowanie i aktualizowanie zawartości w następnej sekcji.

Jeśli wdrożone rozwiązanie zawiera aktualizacje od czasu jego ostatniego wdrożenia, w widoku listy zostanie wyświetlona pozycja Aktualizuj w kolumnie stan. Rozwiązanie jest również uwzględniane w liczbie aktualizacji w górnej części strony.

Oto przykład przedstawiający instalację pojedynczego rozwiązania.

  1. W centrum zawartości wyszukaj i wybierz rozwiązanie.

  2. W okienku szczegółów rozwiązań w prawym dolnym rogu wybierz pozycję Wyświetl szczegóły.

  3. Wybierz pozycję Utwórz lub zaktualizuj.

  4. Na karcie Podstawy wprowadź subskrypcję, grupę zasobów i obszar roboczy, aby wdrożyć rozwiązanie. Na przykład:

    Zrzut ekranu przedstawiający kreatora instalacji rozwiązania z kartą Podstawowe.

  5. Wybierz przycisk Dalej , aby przejść przez pozostałe karty, aby dowiedzieć się więcej, a w niektórych przypadkach skonfigurować poszczególne składniki zawartości.

    Karty odpowiadają zawartości oferowanej przez rozwiązanie. Różne rozwiązania mogą mieć różne typy zawartości, więc w każdym rozwiązaniu mogą nie być widoczne te same karty.

    Może zostać również wyświetlony monit o wprowadzenie poświadczeń do usługi firmy innej niż Microsoft, aby usługa Microsoft Sentinel mogła uwierzytelniać się w systemach. Na przykład w przypadku podręczników możesz chcieć wykonać akcje odpowiedzi zgodnie z zaleceniami w systemie.

  6. Na karcie Przeglądanie i tworzenie poczekaj Validation Passed na komunikat.

  7. Wybierz pozycję Utwórz lub Aktualizuj , aby wdrożyć rozwiązanie. Możesz również wybrać link Pobierz szablon automatyzacji , aby wdrożyć rozwiązanie jako kod.

Instalowanie za pomocą zależności

Niektóre rozwiązania mają zależności do zainstalowania, w tym wiele rozwiązań domenowych i rozwiązań korzystających z ujednoliconych łączników AMA dla formatu CEF, dziennika systemowego lub dzienników niestandardowych.

W takich przypadkach wybierz pozycję Zainstaluj z zależnościami , aby upewnić się, że wymagane łączniki danych są również zainstalowane. W tym miejscu wybierz co najmniej jedną zależność, aby je zainstalować wraz z oryginalnym rozwiązaniem. Oryginalne rozwiązanie wybrane do zainstalowania jest zawsze wybierane domyślnie.

Jeśli co najmniej jedno rozwiązanie zależności jest już zainstalowane, ale ma aktualizacje, użyj przycisku Zainstaluj/Aktualizuj , aby zainstalować i zaktualizować wszystkie wybrane rozwiązania zbiorczo. Na przykład:

Zrzut ekranu przedstawiający zbiorcze instalowanie wielu zależności rozwiązania.

Po zainstalowaniu rozwiązania każdy typ zawartości w rozwiązaniu może wymagać wykonania dodatkowych kroków. Aby uzyskać więcej informacji, zobacz Włączanie elementów zawartości w rozwiązaniu.

Zbiorcze instalowanie i aktualizowanie zawartości

Centrum zawartości obsługuje widok listy oprócz domyślnego widoku karty. Wybierz widok listy, aby zainstalować wiele rozwiązań i autonomiczną zawartość jednocześnie. Zawartość autonomiczna jest aktualizowana automatycznie. Każda aktywna lub niestandardowa zawartość utworzona na podstawie rozwiązań lub autonomicznej zawartości zainstalowanej z centrum zawartości pozostaje nietknięta.

  1. Aby zbiorczo zainstalować lub zaktualizować elementy, przejdź do widoku listy.

  2. Wyszukaj lub filtruj, aby znaleźć zawartość, którą chcesz zainstalować lub zaktualizować zbiorczo.

  3. Zaznacz pole wyboru dla każdego rozwiązania lub autonomicznej zawartości, którą chcesz zainstalować lub zaktualizować.

  4. Wybierz przycisk Zainstaluj/Aktualizuj. Zrzut ekranu przedstawiający widok listy rozwiązań z wieloma rozwiązaniami wybranymi i w toku instalacji.

    Jeśli wybrane rozwiązanie lub autonomiczna zawartość została już zainstalowana lub zaktualizowana, nie zostanie podjęta żadna akcja dla tego elementu. Nie zakłóca aktualizacji i instalowania innych elementów.

  5. Wybierz pozycję Zarządzaj dla każdego zainstalowanego rozwiązania. Typy zawartości w rozwiązaniu mogą wymagać dodatkowych informacji do skonfigurowania. Aby uzyskać więcej informacji, zobacz Włączanie elementów zawartości w rozwiązaniu.

Włączanie elementów zawartości w rozwiązaniu

Centralnie zarządzaj elementami zawartości dla zainstalowanych rozwiązań z centrum zawartości.

  1. W centrum zawartości wybierz zainstalowane rozwiązanie, w którym wersja to 2.0.0 lub nowsza.

  2. Na stronie szczegółów rozwiązań wybierz pozycję Zarządzaj.

    Zrzut ekranu przedstawiający przycisk zarządzaj na stronie szczegółów rozwiązania centrum zawartości działania platformy Azure.

  3. Przejrzyj listę elementów zawartości.

    Zrzut ekranu przedstawiający opis rozwiązania i listę elementów zawartości dla rozwiązania Działania platformy Azure.

  4. Wybierz element zawartości, aby rozpocząć pracę.

Zarządzanie poszczególnymi typami zawartości

W poniższych sekcjach przedstawiono wskazówki dotyczące pracy z różnymi typami zawartości podczas zarządzania rozwiązaniem.

Łącznik danych

Aby połączyć łącznik danych, wykonaj kroki konfiguracji.

  1. Wybierz pozycję Otwórz stronę łącznika.

  2. Wykonaj kroki konfiguracji łącznika danych.

    Zrzut ekranu przedstawiający element zawartości łącznika danych dla rozwiązania działania platformy Azure, w którym stan jest rozłączony.

    Po skonfigurowaniu łącznika danych i dzienników zostaną wykryte, stan zmieni się na Połączono.

Reguła analizy

Utwórz regułę na podstawie szablonu lub edytuj istniejącą regułę.

  1. Wyświetl szablon w galerii szablonów analizy.

  2. Jeśli szablon nie jest jeszcze używany, wybierz pozycję Otwórz>regułę tworzenia i wykonaj kroki, aby włączyć regułę analizy.

    Po utworzeniu reguły liczba aktywnych reguł utworzonych na podstawie szablonu jest wyświetlana w kolumnie Utworzona zawartość .

  3. Wybierz link aktywne reguły, aby edytować istniejącą regułę. Na przykład link aktywnej reguły na poniższej ilustracji znajduje się w obszarze Zawartość utworzona i pokazuje 2 elementy.

    Zrzut ekranu przedstawiający element zawartości reguły analizy w rozwiązaniu dla działania platformy Azure.

Zapytanie dotyczące wyszukiwania zagrożeń

Uruchom podane zapytanie wyszukiwania zagrożeń lub dostosuj je.

  1. Aby rozpocząć wyszukiwanie od razu, wybierz pozycję Uruchom zapytanie na stronie szczegółów, aby uzyskać szybkie wyniki.

    Zrzut ekranu przedstawiający sklonowany element zawartości zapytania wyszukiwania zagrożeń w rozwiązaniu dla działania platformy Azure.

  2. Aby dostosować zapytanie wyszukiwania zagrożeń, wybierz link w kolumnie Nazwa zawartości .

    Z galerii wyszukiwania zagrożeń możesz utworzyć klon szablonu zapytania wyszukiwania tylko do odczytu, przechodząc do menu wielokropka. Zapytania wyszukiwania zagrożeń utworzone w ten sposób są wyświetlane jako elementy w centrum zawartości Utworzono zawartość kolumny.

skoroszyt

Aby dostosować skoroszyt utworzony na podstawie szablonu, utwórz wystąpienie skoroszytu.

  1. Wybierz pozycję Wyświetl szablon , aby otworzyć skoroszyt i wyświetlić wizualizacje.

  2. Wybierz pozycję Zapisz , aby utworzyć wystąpienie szablonu skoroszytu.

  3. Wyświetl zapisany skoroszyt możliwy do dostosowania, wybierając pozycję Wyświetl zapisany skoroszyt.

  4. W centrum zawartości wybierz link 1 elementu w kolumnie Utworzona zawartość , aby zarządzać skoroszytem.

    Zrzut ekranu przedstawiający zapisany element skoroszytu w rozwiązaniu dla działania platformy Azure.

Parser

Po zainstalowaniu rozwiązania wszystkie dołączone analizatory są dodawane jako funkcje obszaru roboczego w usłudze Log Analytics.

  1. Wybierz pozycję Załaduj kod funkcji, aby otworzyć usługę Log Analytics i wyświetlić lub uruchomić kod funkcji.

  2. Wybierz pozycję Użyj w edytorze , aby otworzyć usługę Log Analytics z nazwą analizatora gotową do dodania do zapytania niestandardowego.

    Zrzut ekranu przedstawiający typ zawartości analizatora w rozwiązaniu.

Podręcznik

Tworzenie podręcznika na podstawie szablonu.

  1. Wybierz link Nazwa zawartości podręcznika.

  2. Wybierz szablon i wybierz pozycję Utwórz podręcznik.

  3. Po utworzeniu podręcznika aktywny podręcznik zostanie wyświetlony w kolumnie Utworzona zawartość .

  4. Wybierz link aktywnego elementu playbook 1, aby zarządzać podręcznikiem.

    Zrzut ekranu przedstawiający typ zawartości typu podręcznika w rozwiązaniu.

Znajdowanie modelu pomocy technicznej dla zawartości

Każde rozwiązanie i autonomiczny element zawartości wyjaśnia swój model pomocy technicznej w okienku szczegółów w polu Pomoc techniczna , w którym znajduje się nazwa firmy Microsoft lub partnera. Na przykład:

Zrzut ekranu przedstawiający miejsce, w którym można znaleźć model pomocy technicznej dla rozwiązania.

Podczas kontaktowania się z pomocą techniczną może być konieczne podanie innych szczegółów dotyczących rozwiązania, takich jak wydawca, dostawca i wartości identyfikatora planu. Znajdź te informacje na stronie szczegółów na karcie Informacje o użyciu i obsługa techniczna .

Zrzut ekranu przedstawiający szczegóły użycia i pomocy technicznej dla rozwiązania.

Następne kroki

W tym dokumencie przedstawiono sposób znajdowania i wdrażania wbudowanych rozwiązań i zawartości autonomicznej dla usługi Microsoft Sentinel.

Wiele rozwiązań obejmuje łączniki danych, które należy skonfigurować, aby można było rozpocząć pozyskiwanie danych w usłudze Microsoft Sentinel. Każdy łącznik danych ma własny zestaw wymagań szczegółowych na stronie łącznika danych w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Łączenie źródła danych.