Partilhar via

Descubra e gerencie conteúdo pronto para uso do Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

O hub de conteúdo do Microsoft Sentinel é seu local centralizado para descobrir e gerenciar conteúdo pronto para uso (interno). Lá você encontra soluções empacotadas para produtos de ponta a ponta por domínio ou indústria. Você tem acesso ao grande número de contribuições independentes hospedadas em nosso repositório GitHub e lâminas de recursos.

  • Descubra soluções e conteúdo autônomo com um conjunto consistente de recursos de filtragem com base no status, tipo de conteúdo, suporte, provedor e categoria.

  • Instale o conteúdo no seu espaço de trabalho de uma só vez ou individualmente.

  • Exiba o conteúdo no modo de exibição de lista e veja rapidamente quais soluções têm atualizações. Atualize as soluções de uma só vez enquanto o conteúdo independente é atualizado automaticamente.

  • Gerencie uma solução para instalar seus tipos de conteúdo e obter as alterações mais recentes.

  • Configure o conteúdo autônomo para criar novos itens ativos com base no modelo mais atualizado.

Se você for um parceiro que deseja criar sua própria solução, consulte o Guia de compilação de soluções do Microsoft Sentinel para criação e publicação de soluções.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para instalar, atualizar e excluir conteúdo ou soluções autônomas no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no nível do grupo de recursos.

Para obter mais informações sobre outras funções e permissões suportadas pelo Microsoft Sentinel, consulte Permissões no Microsoft Sentinel.

Detetar o conteúdo

O hub de conteúdo oferece a melhor maneira de encontrar novos conteúdos ou gerenciar as soluções que você já instalou.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Hub de conteúdo.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.

    A página Hub de conteúdo exibe uma grade pesquisável ou uma lista de soluções e conteúdo autônomo.

  2. Filtre a lista exibida, selecionando valores específicos nos filtros ou inserindo qualquer parte de um nome de conteúdo ou descrição no campo Pesquisar .

    Para obter mais informações, consulte Categorias para conteúdo e soluções prontos para uso do Microsoft Sentinel.

  3. Selecione a vista Cartão para ver mais informações sobre uma solução.

    Cada item de conteúdo mostra as categorias que se aplicam a ele e as soluções mostram os tipos de conteúdo incluídos. Por exemplo, na imagem a seguir, a solução Cisco Umbrella lista uma de suas categorias como Segurança - Segurança na Nuvem e indica que inclui um conector de dados, regras de análise, consultas de caça, playbooks e muito mais.

Instalar ou atualizar conteúdo

Instale conteúdo e soluções independentes individualmente ou todos juntos em massa. Para obter mais informações sobre operações em massa, consulte Instalação em massa e atualização de conteúdo na próxima seção.

Se uma solução implantada tiver atualizações desde a última implantação, o modo de exibição de lista mostrará Atualização na coluna de status. A solução também está incluída na contagem de atualizações na parte superior da página.

Aqui está um exemplo que mostra a instalação de uma solução individual.

  1. No hub Conteúdo, procure e selecione a solução.

  2. No painel de detalhes das soluções, no canto inferior direito, selecione Exibir detalhes.

  3. Selecione Criar ou Atualizar.

  4. Na guia Noções básicas, insira a assinatura, o grupo de recursos e o espaço de trabalho para implantar a solução. Por exemplo:

    Captura de ecrã de um assistente de instalação de solução, mostrando o separador Noções básicas.

  5. Selecione Avançar para percorrer as guias restantes para saber mais sobre e, em alguns casos, configurar cada um dos componentes de conteúdo.

    Os separadores correspondem ao conteúdo oferecido pela solução. Soluções diferentes podem ter diferentes tipos de conteúdo, portanto, você pode não ver as mesmas guias em todas as soluções.

    Você também pode ser solicitado a inserir credenciais para um serviço que não seja da Microsoft para que o Microsoft Sentinel possa se autenticar em seus sistemas. Por exemplo, com playbooks, você pode querer tomar ações de resposta conforme prescrito em seu sistema.

  6. No separador Rever + criar, aguarde a Validation Passed mensagem.

  7. Selecione Criar ou Atualizar para implantar a solução. Você também pode selecionar o link Baixar um modelo para automação para implantar a solução como código.

Instalar com dependências

Algumas soluções têm dependências para instalar, incluindo muitas soluções de domínio e soluções que usam os conectores AMA unificados para CEF, Syslog ou logs personalizados.

Nesses casos, selecione Instalar com dependências para garantir que os conectores de dados necessários também estejam instalados. A partir daí, selecione uma ou mais dependências para instalá-las junto com a solução original. A solução original escolhida para instalar é sempre selecionada por padrão.

Se uma ou mais das soluções de dependência já estiverem instaladas, mas tiverem atualizações, use o botão Instalar/Atualizar para instalar e atualizar todas as soluções selecionadas em massa. Por exemplo:

Captura de tela da instalação de várias dependências de solução em massa.

Depois de instalar uma solução, cada tipo de conteúdo dentro da solução pode exigir mais etapas para configurar. Para obter mais informações, consulte Habilitar itens de conteúdo em uma solução.

Instalação e atualização de conteúdo em massa

O hub de conteúdo oferece suporte a um modo de exibição de lista, além do modo de exibição de cartão padrão. Selecione a vista de lista para instalar várias soluções e conteúdo autónomo de uma só vez. O conteúdo independente é mantido atualizado automaticamente. Qualquer conteúdo ativo ou personalizado criado com base em soluções ou conteúdo autônomo instalado a partir do hub de conteúdo permanece intocado.

  1. Para instalar ou atualizar itens em massa, mude para o modo de exibição de lista.

  2. Procure ou filtre para encontrar o conteúdo que pretende instalar ou atualizar em massa.

  3. Marque a caixa de seleção para cada solução ou conteúdo autônomo que você deseja instalar ou atualizar.

  4. Selecione o botão Instalar/Atualizar . Captura de ecrã da vista de lista de soluções com várias soluções selecionadas e em curso para instalação.

    Se uma solução ou conteúdo autônomo selecionado já tiver sido instalado ou atualizado, nenhuma ação será executada nesse item. Ele não interfere com a atualização e instalação dos outros itens.

  5. Selecione Gerenciar para cada solução instalada. Os tipos de conteúdo dentro da solução podem exigir mais informações para você configurar. Para obter mais informações, consulte Habilitar itens de conteúdo em uma solução.

Habilitar itens de conteúdo em uma solução

Gerencie centralmente itens de conteúdo para soluções instaladas a partir do hub de conteúdo.

  1. No hub de conteúdo, selecione uma solução instalada em que a versão seja 2.0.0 ou superior.

  2. Na página de detalhes das soluções, selecione Gerenciar.

    Captura de ecrã do botão gerir na página de detalhes da solução de hub de conteúdo da Atividade do Azure.

  3. Analise a lista de itens de conteúdo.

    Captura de ecrã da descrição da solução e lista de itens de conteúdo para a solução Azure Activity.

  4. Selecione um item de conteúdo para começar.

Gerenciar cada tipo de conteúdo

As seções a seguir fornecem algumas dicas sobre como trabalhar com os diferentes tipos de conteúdo enquanto você gerencia uma solução.

Conector de dados

Para conectar um conector de dados, conclua as etapas de configuração.

  1. Selecione Abrir página do conector.

  2. Conclua as etapas de configuração do conector de dados.

    Captura de ecrã do item de conteúdo do conector de dados para a solução de Atividade do Azure onde o estado está desligado.

    Depois de configurar o conector de dados e os logs são detetados, o status muda para Conectado.

Regra de análise

Crie uma regra a partir de um modelo ou edite uma regra existente.

  1. Exiba o modelo na galeria de modelos de análise.

  2. Se o modelo ainda não for usado, selecione Abrir>regra Criar e siga as etapas para habilitar a regra de análise.

    Depois de criar uma regra, o número de regras ativas criadas a partir do modelo é mostrado na coluna Conteúdo criado .

  3. Selecione o link de regras ativas para editar a regra existente. Por exemplo, o link da regra ativa na imagem a seguir está em Conteúdo criado e mostra 2 itens.

    Captura de ecrã do item de conteúdo da regra de análise na solução para a Atividade do Azure.

Consulta de caça

Execute a consulta de caça fornecida ou personalize-a.

  1. Para começar a pesquisar imediatamente, selecione Executar consulta na página de detalhes para obter resultados rápidos.

    Captura de ecrã do item de conteúdo de consulta de caça clonada na solução para a Atividade do Azure.

  2. Para personalizar sua consulta de busca, selecione o link na coluna Nome do conteúdo.

    Na galeria de caça, você pode criar um clone do modelo de consulta de caça somente leitura acessando o menu de reticências. As consultas de caça criadas dessa forma são exibidas como itens na coluna Conteúdo criado do hub de conteúdo.

Livro

Para personalizar uma pasta de trabalho criada a partir de um modelo, crie uma instância de uma pasta de trabalho.

  1. Selecione Exibir modelo para abrir a pasta de trabalho e ver as visualizações.

  2. Selecione Salvar para criar uma instância do modelo de pasta de trabalho.

  3. Exiba sua pasta de trabalho personalizável salva selecionando Exibir pasta de trabalho salva.

  4. No hub de conteúdo, selecione o link de 1 item na coluna Conteúdo criado para gerenciar a pasta de trabalho.

    Captura de ecrã do item de livro guardado na solução para a Atividade do Azure.

Analisador

Quando uma solução é instalada, todos os analisadores incluídos são adicionados como funções de espaço de trabalho no Log Analytics.

  1. Selecione Carregar o código da função para abrir o Log Analytics e visualizar ou executar o código da função.

  2. Selecione Usar no editor para abrir o Log Analytics com o nome do analisador pronto para adicionar à sua consulta personalizada.

    Captura de tela do tipo de conteúdo do analisador em uma solução.

Playbook

Crie um playbook a partir de um modelo.

  1. Selecione o link Nome do conteúdo do playbook.

  2. Escolha o modelo e selecione Criar playbook.

  3. Depois que o playbook é criado, o playbook ativo é mostrado na coluna Conteúdo criado .

  4. Selecione o link de item 1 do playbook ativo para gerenciar o playbook.

    Captura de tela do tipo de conteúdo do tipo playbook em uma solução.

Encontre o modelo de suporte para o seu conteúdo

Cada solução e item de conteúdo autônomo explica seu modelo de suporte em seu painel de detalhes, na caixa Suporte, onde o nome da Microsoft ou de um parceiro está listado. Por exemplo:

Captura de tela de onde você pode encontrar seu modelo de suporte para sua solução.

Ao entrar em contato com o suporte, você pode precisar de outros detalhes sobre sua solução, como um editor, provedor e valores de ID do plano. Encontre essas informações na página de detalhes na guia Informações de uso & suporte .

Captura de ecrã dos detalhes de utilização e suporte de uma solução.

Próximos passos

Neste documento, você aprendeu como localizar e implantar soluções internas e conteúdo autônomo para o Microsoft Sentinel.

Muitas soluções incluem conectores de dados que você precisa configurar para que você possa começar a ingerir seus dados no Microsoft Sentinel. Cada conector de dados tem seu próprio conjunto de requisitos que são detalhados na página do conector de dados no Microsoft Sentinel.

Para obter mais informações, consulte Conectar sua fonte de dados.