Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Sentinel содержимое включает компоненты решения для управления информационной безопасностью и событиями безопасности (SIEM), которые помогают принимать данные, отслеживать, оповещать и реагировать на угрозы безопасности. В этой статье объясняется, какие типы содержимого и решения в Microsoft Sentinel и как они помогают операциям безопасности.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Поддерживаемая содержимое
Содержимое доступно в центре содержимого Microsoft Sentinel и включает следующие типы:
| Тип содержимого | Описание |
|---|---|
| Правила аналитики | Создание оповещений, указывающих на соответствующие действия SOC через инциденты. |
| Соединители данных | Прием журналов из разных источников в Microsoft Sentinel. |
| Охота на запросы | Помогите командам SOC заблаговременно искать угрозы в Microsoft Sentinel. |
| Парсеров | Форматирование и преобразование журналов в форматы расширенной информационной модели безопасности (ASIM) для использования в разных типах контента и сценариях. |
| Сборники схем и пользовательские соединители Azure Logic Apps | Автоматизация сценариев исследования, исправления и реагирования в Microsoft Sentinel. |
| Списки просмотров | Прием конкретных данных для более эффективного обнаружения угроз и уменьшения усталости оповещений. |
| Книги | Мониторинг, визуализация и взаимодействие с данными в Microsoft Sentinel для получения значимых аналитических сведений. |
| Сводные шаблоны правил | Разверните проверенные предварительно созданные правила, которые оптимизируют затраты и повышают производительность запросов путем агрегирования аналитических сведений из входящих подробных журналов. |
Центр содержимого предоставляет эти типы контента в виде решений и автономных элементов. Решения — это пакеты Microsoft Sentinel содержимого или интеграции API Microsoft Sentinel, которые поддерживают комплексный сценарий продукта, домена или отрасли в Microsoft Sentinel.
Настройте готовую информацию (OOTB) в соответствии со своими потребностями или создайте собственное решение для совместного использования с другими пользователями в сообществе. Дополнительные сведения см. в руководстве по созданию и публикации решений Microsoft Sentinel.
Обнаружение содержимого в Microsoft Sentinel и управление ими
Используйте центр содержимого Microsoft Sentinel для централизованного поиска и установки встроенного содержимого (OOTB).
Центр содержимого Microsoft Sentinel позволяет находить содержимое в продукте, развертывать его за один шаг и включать комплексные решения и содержимое OOTB в Microsoft Sentinel.
Фильтруйте по категориям и другим параметрам или используйте текстовый поиск, чтобы найти содержимое, которое лучше всего подходит для вашей организации.
В центре содержимого также показана модель поддержки для каждого фрагмента содержимого. Некоторые материалы поддерживаются корпорацией Майкрософт, а другие — партнерами или сообществом.
Управление обновлениями для готового содержимого в центре содержимого. Для пользовательского содержимого можно управлять обновлениями на странице Репозитории . Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.
Настройте готовую информацию в соответствии с вашими потребностями или создайте пользовательское содержимое, включая правила аналитики, запросы охоты, книги и многое другое.
Управление пользовательским содержимым непосредственно в рабочей области Microsoft Sentinel с помощью API Microsoft Sentinel или из репозитория системы управления версиями. Дополнительные сведения см. в разделах Microsoft Sentinel API и Развертывание пользовательского содержимого из репозитория.
Зачем использовать решения Microsoft Sentinel?
Microsoft Sentinel решения — это упакованные интеграции, которые обеспечивают комплексное значение продукта для одного или нескольких доменов или вертикальных сценариев в центре содержимого.
Интерфейс решений на основе Azure Marketplace помогает находить и развертывать нужное содержимое. Дополнительные сведения о создании и публикации решений в Azure Marketplace см. в руководстве по сборке решений Microsoft Sentinel.
Упакованое содержимое — это коллекция из одного или нескольких компонентов Microsoft Sentinel содержимого.
Интеграция включает службы или средства, созданные с помощью Microsoft Sentinel или Azure API Log Analytics, которые поддерживают интеграцию между Azure и существующими клиентскими приложениями, а также перемещение данных, запросов и т. д. из этих приложений в Microsoft Sentinel.
Используйте решения для установки пакетов встроенного содержимого (OOTB) за один шаг. Содержимое часто готово к использованию немедленно. Поставщики и партнеры используют Sentinel решения, чтобы повысить ценность инвестиций своих клиентов, предоставляя объединенную продукцию, предметную область или вертикальную ценность.
Используйте Центр содержимого для централизованного поиска и развертывания решений и содержимого OOTB на основе вашего сценария.
Дополнительные сведения см. в разделе:
- Централизованное обнаружение и развертывание Microsoft Sentinel встроенного содержимого и решений
- Microsoft Sentinel каталог решений в Azure Marketplace
- каталог Microsoft Sentinel
Категории для Microsoft Sentinel готового содержимого и решений
Microsoft Sentinel нестандартное содержимое помещается в одну или несколько из этих категорий. В центре содержимого выберите категории, которые нужно просмотреть, чтобы изменить отображаемое содержимое. Элементы, доставляемые сообществом, находятся в центре содержимого как автономное содержимое или решения.
Категории доменов
| Имя категории | Описание |
|---|---|
| Application | Веб-служба, серверная служба, SaaS, база данных, связь или служба повышения производительности |
| Поставщик облачных служб | Облачная служба |
| Cloud Security | Облачная служба безопасности |
| Соответствие требованиям | Продукт, службы и протоколы соответствия требованиям |
| DevOps | Средства и службы для операций разработки |
| Identity | Поставщики служб идентификации и интеграции |
| Интернет вещей (IoT) | IoT, устройства с операционными технологиями (OT) и инфраструктура, службы промышленного управления |
| ИТ-операции | Продукты и службы, управляющие ИТ |
| Миграция | Продукты и службы для включения миграции |
| Сеть | Сетевые продукты, службы и средства |
| Платформа | Microsoft Sentinel универсальных компонентов или компонентов платформы, облачной инфраструктуры и платформы |
| Безопасность | Общие продукты безопасности |
| Безопасность — 0-дневная уязвимость | Специализированные решения для атак с уязвимостями нулевого дня |
| Безопасность — автоматизация (SOAR) | Автоматизация безопасности, SOAR (операции безопасности и автоматические ответы), операции безопасности и продукты и службы реагирования на инциденты. |
| Безопасность — облачная безопасность | CASB (компонент Cloud Access Service Broker), CWPP (платформы защиты облачных рабочих нагрузок), CSPM (управление состоянием облачной безопасности) и другие продукты и службы безопасности облака |
| Безопасность — Information Protection | Продукты и службы для защиты информации и документов |
| Безопасность — угроза для программы предварительной оценки | Аналитика поведения пользователей и сущностей (UEBA) для продуктов и служб безопасности |
| Безопасность — сеть | Сетевые устройства безопасности, брандмауэр, NDR (сетевое обнаружение и реагирование), NIDP (защита от сетевых вторжений и обнаружения) и сбор сетевых пакетов |
| Безопасность — другие | Другие продукты и службы безопасности без другой четкой категории |
| Безопасность — аналитика угроз | Платформы, веб-каналы, продукты и службы аналитики угроз |
| Безопасность — защита от угроз | Защита от угроз, защита электронной почты, расширенное обнаружение и реагирование (XDR) и продукты и службы защиты конечных точек |
| Безопасность — управление уязвимостями | Продукты и службы управления уязвимостями |
| Хранилище | Хранилища файлов и продукты и службы для общего доступа к файлам |
| Учебные курсы и руководства | Учебные курсы, учебники и ресурсы подключения |
| Поведение пользователя (UEBA) | Продукты и службы аналитики поведения пользователей |
Отраслевые вертикальные категории
| Имя категории | Описание |
|---|---|
| Аэронавтики | Продукты, услуги и содержимое, характерные для аэронавтики |
| Образование | Продукты, услуги и содержимое, характерные для отрасли образования |
| Финансы | Продукты, услуги и содержимое, характерные для финансовой отрасли |
| Здравоохранения | Продукты, услуги и содержимое, характерные для отрасли здравоохранения |
| Отдел производства | Продукты, услуги и содержимое, характерные для обрабатывающей промышленности |
| Розничная торговля | Продукты, услуги и содержимое, характерные для розничной торговли |
| Программное обеспечение | Продукты, службы и содержимое, характерные для индустрии программного обеспечения |
Модели поддержки Microsoft Sentinel готового содержимого и решений
Корпорация Майкрософт и другие организации Microsoft Sentinel встроенные материалы и решения. Каждый элемент встроенного содержимого или решения имеет один из следующих типов поддержки:
| Модель поддержки | Описание |
|---|---|
| Поддерживаемые корпорацией Майкрософт | Применимо к: — содержимое или решения, в которых корпорация Майкрософт является поставщиком данных, где это необходимо, и автором. — Некоторые материалы или решения, созданные корпорацией Майкрософт, для источников данных сторонних разработчиков. Корпорация Майкрософт поддерживает и обслуживает содержимое или решения в этой модели поддержки в соответствии с планами поддержки Microsoft Azure. Партнеры или сообщество поддерживают содержимое или решения, созданные любой стороной, кроме корпорации Майкрософт. |
| Поддерживается партнером | Применяется к содержимому или решениям, созданным не корпорацией Майкрософт. Партнерская компания обеспечивает поддержку или обслуживание этих фрагментов содержимого или решений. Компания-партнер может быть независимым поставщиком программного обеспечения, поставщиком управляемых услуг (MSP или MSSP), системным интегратором (SI) или любой организацией, контактные данные которой предоставляются на странице Microsoft Sentinel для выбранного содержимого или решений. При любых проблемах с решением, поддерживаемым партнером, обратитесь к указанному контакту в службу поддержки. |
| Поддержка сообщества | Применяется к содержимому или решениям, созданным корпорацией Майкрософт или разработчиками-партнерами без указанных контактов для поддержки и обслуживания в Microsoft Sentinel. Для вопросов или проблем, связанных с этими решениями, отправьте файл о проблеме в сообществе Microsoft Sentinel GitHub. |
Источники контента для Microsoft Sentinel содержимого и решений
Каждый фрагмент содержимого или решение имеет один из следующих источников содержимого:
| Источник контента | Описание |
|---|---|
| Решение | Решения, развернутые центром содержимого , поддерживающие управление жизненным циклом. |
| Автономный выпуск | Автономное содержимое, развернутые центром содержимого , которое автоматически обновляется. |
| Custom | Содержимое или решения, настраиваемые в рабочей области. |
| Репозитории | Содержимое или решения из репозитория, подключенного к рабочей области. |
Дальнейшие действия
Обнаружение и установка решений и автономного содержимого из центра содержимого в рабочей области Microsoft Sentinel.
Дополнительные сведения см. в разделе