Detetar e gerir Microsoft Sentinel conteúdo inicial

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

O hub de conteúdo Microsoft Sentinel é a sua localização centralizada para detetar e gerir conteúdos integrados (incorporados). Aqui, encontrará soluções em pacote para produtos ponto a ponto por domínio ou indústria. Tem acesso ao vasto número de contribuições autónomas alojadas nos nossos painéis de funcionalidades e repositório do GitHub.

  • Descubra soluções e conteúdos autónomos com um conjunto consistente de capacidades de filtragem com base no estado, tipo de conteúdo, suporte, fornecedor e categoria.

  • Instale conteúdo na sua área de trabalho de uma só vez ou individualmente.

  • Ver conteúdo na vista de lista e ver rapidamente que soluções têm atualizações. Atualize as soluções de uma só vez enquanto o conteúdo autónomo é atualizado automaticamente.

  • Gerir uma solução para instalar os respetivos tipos de conteúdo e obter as alterações mais recentes.

  • Configure conteúdo autónomo para criar novos itens ativos com base no modelo mais atualizado.

Se for um parceiro que quer criar a sua própria solução, veja o Guia de Compilação Microsoft Sentinel Soluções para criação e publicação de soluções.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.

Pré-requisitos

Para instalar, atualizar e eliminar conteúdos autónomos ou soluções no hub de conteúdos, precisa da função contribuidor Microsoft Sentinel ao nível do grupo de recursos.

Para obter mais informações sobre outras funções e permissões suportadas para Microsoft Sentinel, veja Permissões no Microsoft Sentinel.

Detetar conteúdos

O hub de conteúdos oferece a melhor forma de encontrar novos conteúdos ou gerir as soluções que já instalou.

  1. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Hub de conteúdos. Para Microsoft Sentinel na portal do Azure, em Gestão de conteúdos, selecione Hub de conteúdos.

    A página Hub de conteúdos apresenta uma grelha pesquisável ou uma lista de soluções e conteúdo autónomo.

  2. Procure as soluções ou itens de conteúdo autónomos de que precisa. Selecione valores específicos a partir dos filtros ou introduza um termo de pesquisa na caixa Procurar . As pesquisas utilizam IA para suportar pesquisas difusas e vocabulário aproximado.

    Ao procurar, certifique-se de que prime ENTER para iniciar a pesquisa. O número de resultados da pesquisa está limitado a 50 itens, incluindo soluções e itens de conteúdo encontrados nas soluções. Se não encontrar o que procura, experimente refinar a expressão de pesquisa ou utilize filtros diferentes.

    Para obter mais informações, veja Categorias para Microsoft Sentinel conteúdos e soluções inativos.

  3. Na vista de lista ( ), selecione uma solução na lista para ver informações sobre a solução, bem como os tipos de itens de conteúdo que inclui.

    Expanda uma solução nos resultados de pesquisa ou filtro para ver a lista de itens de conteúdo que inclui. O painel de informações na parte lateral apresenta informações detalhadas sobre o item de conteúdo.

    Em alternativa, selecione a vista de cartão ( ) para ver as soluções apresentadas numa grelha. Cada cartão mostra o nome, a descrição e as categorias da solução. Selecione um cartão para ver mais informações sobre a solução na parte lateral.

Para utilizar um item de conteúdo que faça parte de uma solução, tem de instalar toda a solução. Se tiver selecionado um item de conteúdo específico na vista de lista, selecione Instalar solução no painel de detalhes na parte lateral para instalar a solução relevante.

Para obter mais informações, veja Categorias para Microsoft Sentinel conteúdos e soluções inativos.

Instalar ou atualizar conteúdo

Instale conteúdos e soluções autónomos individualmente ou em conjunto em massa. Para obter mais informações sobre operações em massa, veja Instalação em massa e atualização de conteúdo na secção seguinte.

Se uma solução que implementou tiver atualizações desde a última vez que a implementou, a vista de lista mostra Atualizar na coluna estado. A solução também está incluída na contagem de Atualizações na parte superior da página.

Eis um exemplo que mostra a instalação de uma solução individual.

  1. No Hub de conteúdos, procure e selecione a solução.

  2. No painel de detalhes das soluções, no canto inferior direito, selecione Ver detalhes.

  3. Selecione Criar ou Atualizar.

  4. No separador Informações básicas , introduza a subscrição, o grupo de recursos e a área de trabalho para implementar a solução. Por exemplo:

    Captura de ecrã a mostrar um assistente de instalação de soluções, com o separador Noções Básicas.

  5. Selecione Seguinte para percorrer os restantes separadores para saber mais e, em alguns casos, configurar cada um dos componentes de conteúdo.

    Os separadores correspondem ao conteúdo oferecido pela solução. Diferentes soluções podem ter diferentes tipos de conteúdo, pelo que poderá não ver os mesmos separadores em todas as soluções.

    Também poderá ser-lhe pedido que introduza credenciais para um serviço que não seja da Microsoft, para que Microsoft Sentinel possa autenticar-se nos seus sistemas. Por exemplo, com manuais de procedimentos, poderá querer tomar medidas de resposta conforme prescrito no seu sistema.

  6. No separador Rever + criar , aguarde pela Validation Passed mensagem.

  7. Selecione Criar ou Atualizar para implementar a solução. Também pode selecionar a ligação Transferir um modelo para automatização para implementar a solução como código.

Instalar com dependências

Algumas soluções têm dependências para instalar, incluindo muitas soluções de domínio e soluções que utilizam os conectores AMA unificados para CEF, Syslog ou registos personalizados.

Nesses casos, selecione Instalar com dependências para garantir que os conectores de dados necessários também estão instalados. A partir daí, selecione uma ou mais das dependências para instalá-las juntamente com a solução original. A solução original que escolheu instalar está sempre selecionada por predefinição.

Se uma ou mais das soluções de dependência já estiverem instaladas, mas tiverem atualizações, utilize o botão Instalar/Atualizar para instalar e atualizar todas as soluções selecionadas em massa. Por exemplo:

Captura de ecrã a mostrar a instalação de várias dependências de soluções em massa.

Depois de instalar uma solução, cada tipo de conteúdo na solução poderá necessitar de mais passos para configurar. Para obter mais informações, veja Ativar itens de conteúdo numa solução.

Instalar e atualizar conteúdo em massa

O hub de conteúdos suporta uma vista de lista para além da vista de cartão predefinida. Selecione a vista de lista para instalar várias soluções e conteúdos autónomos de uma só vez. O conteúdo autónomo é mantido atualizado automaticamente. Qualquer conteúdo ativo ou personalizado criado com base em soluções ou conteúdos autónomos instalados a partir do hub de conteúdos permanece inalterado.

  1. Para instalar ou atualizar itens em massa, mude para a vista de lista.

  2. Procure ou filtre para encontrar o conteúdo que pretende instalar ou atualizar em massa.

  3. Selecione a caixa de verificação para cada solução ou conteúdo autónomo que pretende instalar ou atualizar.

  4. Selecione o botão Instalar/Atualizar . Captura de ecrã da vista de lista de soluções com várias soluções selecionadas e em curso para instalação.

    Se uma solução ou conteúdo autónomo selecionado já estiver instalado ou atualizado, não será efetuada qualquer ação nesse item. Não interfere com a atualização e instalação dos outros itens.

  5. Selecione Gerir para cada solução que instalou. Os tipos de conteúdo na solução podem exigir mais informações para configurar. Para obter mais informações, veja Ativar itens de conteúdo numa solução.

Instalar pacotes e modelos com a API

Se estiver a utilizar a API para instalar pacotes de soluções ou modelos individuais, siga estes passos:

  1. Obtenha o pacote ou modelo da solução:

  2. Na resposta da API, localize o properties.mainTemplate campo . Este campo contém o JSON do modelo arm que define a solução ou os recursos do modelo.

  3. Implemente o extraído mainTemplate com uma implementação de modelo do ARM, através da API Rest, da CLI Azure ou do PowerShell.

Ativar itens de conteúdo numa solução

Gerir centralmente itens de conteúdo para soluções instaladas a partir do hub de conteúdos.

  1. No hub de conteúdos, selecione uma solução instalada onde a versão seja 2.0.0 ou superior.

  2. Na página de detalhes das soluções, selecione Gerir.

    Captura de ecrã do botão Gerir na página de detalhes da solução do hub de conteúdos atividade do Azure.

  3. Reveja a lista de itens de conteúdo.

    Captura de ecrã a mostrar a descrição da solução e a lista de itens de conteúdo para Azure Solução de atividade.

  4. Selecione um item de conteúdo para começar.

Gerir cada tipo de conteúdo

As secções seguintes fornecem algumas sugestões sobre como trabalhar com os diferentes tipos de conteúdo à medida que gere uma solução.

Conector de dados

Para ligar um conector de dados, conclua os passos de configuração.

  1. Selecione Abrir página do conector.

  2. Conclua os passos de configuração do conector de dados.

    Captura de ecrã do item de conteúdo do conector de dados para Azure Solução de atividade em que o estado está desligado.

    Depois de detetar o conector de dados e os registos, o estado muda para Ligado.

Regra de análise

Criar uma regra a partir de um modelo ou editar uma regra existente.

  1. Ver o modelo na galeria de modelos de análise.

  2. Se o modelo ainda não estiver a ser utilizado, selecione Abrir>Criar regra e siga os passos para ativar a regra de análise.

    Depois de criar uma regra, o número de regras ativas criadas a partir do modelo é apresentado na coluna Conteúdo criado .

  3. Selecione a ligação regras ativas para editar a regra existente. Por exemplo, a ligação de regra ativa na imagem seguinte encontra-se em Conteúdo criado e mostra 2 itens.

    Captura de ecrã do item de conteúdo da regra de análise na solução para a Atividade Azure.

Consulta de investigação

Execute a consulta de investigação fornecida ou personalize-a.

  1. Para começar a procurar imediatamente, selecione Executar consulta na página de detalhes para obter resultados rápidos.

    Captura de ecrã do item de conteúdo da consulta de investigação clonada na solução para a Atividade Azure.

  2. Para personalizar a sua consulta de investigação, selecione a ligação na coluna Nome do conteúdo .

    A partir da galeria de investigação, pode criar um clone do modelo de consulta de investigação só de leitura ao aceder ao menu de reticências. As consultas de investigação criadas desta forma são apresentadas como itens na coluna Conteúdo criado do hub de conteúdos.

Livro

Para personalizar um livro criado a partir de um modelo, crie uma instância de um livro.

  1. Selecione Ver modelo para abrir o livro e ver as visualizações.

  2. Selecione Guardar para criar uma instância do modelo de livro.

  3. Veja o seu livro personalizável guardado ao selecionar Ver livro guardado.

  4. No hub de conteúdos, selecione a ligação 1 item na coluna Conteúdo criado para gerir o livro.

    Captura de ecrã a mostrar o item do livro guardado na solução para a Atividade Azure.

Analisador

Quando uma solução é instalada, todos os analisadores incluídos são adicionados como funções de área de trabalho no Log Analytics.

  1. Selecione Carregar o código da função para abrir o Log Analytics e ver ou executar o código de função.

  2. Selecione Utilizar no editor para abrir o Log Analytics com o nome do analisador pronto para adicionar à sua consulta personalizada.

    Captura de ecrã do tipo de conteúdo do analisador numa solução.

Manual de procedimentos

Criar um manual de procedimentos a partir de um modelo.

  1. Selecione a ligação Nome do conteúdo do manual de procedimentos.

  2. Selecione o modelo e selecione Criar manual de procedimentos.

  3. Após a criação do manual de procedimentos, o manual de procedimentos ativo é apresentado na coluna Conteúdo criado .

  4. Selecione a ligação do item ativo do manual de procedimentos 1 para gerir o manual de procedimentos.

    Captura de ecrã a mostrar o tipo de conteúdo do tipo de manual de procedimentos numa solução.

Localizar o modelo de suporte para o seu conteúdo

Cada item de solução e conteúdo autónomo explica o respetivo modelo de suporte no respetivo painel de detalhes, na caixa Suporte , onde está listado o nome da Microsoft ou de um parceiro. Por exemplo:

Captura de ecrã a mostrar onde pode encontrar o seu modelo de suporte para a sua solução.

Ao contactar o suporte, poderá precisar de outros detalhes sobre a sua solução, como um fabricante, fornecedor e valores de ID de plano. Encontre estas informações na página de detalhes no separador Informações de utilização & suporte .

Captura de ecrã a mostrar os detalhes de utilização e suporte de uma solução.

Passos seguintes

Neste documento, aprendeu a localizar e implementar soluções incorporadas e conteúdos autónomos para Microsoft Sentinel.

Muitas soluções incluem conectores de dados que precisa de configurar para que possa começar a ingerir os seus dados em Microsoft Sentinel. Cada conector de dados tem o seu próprio conjunto de requisitos que são detalhados na página do conector de dados no Microsoft Sentinel.

Para obter mais informações, veja Ligar a origem de dados.

  • Last updated on