Поделиться через

Обнаружение содержимого Microsoft Sentinel и управление ими

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Центр содержимого Microsoft Sentinel — это централизованное расположение для обнаружения содержимого вне поля (встроенного) и управления ими. Там вы найдете упакованные решения для комплексных продуктов по домену или отрасли. У вас есть доступ к большому количеству автономных вкладов, размещенных в нашем репозитории GitHub и колонках функций.

  • Обнаружение решений и автономного содержимого с согласованным набором возможностей фильтрации на основе состояния, типа контента, поддержки, поставщика и категории.

  • Установите содержимое в рабочей области одновременно или по отдельности.

  • Просмотрите содержимое в представлении списка и быстро увидите, какие решения имеют обновления. Обновите решения одновременно при автоматическом обновлении автономного содержимого.

  • Управление решением для установки типов контента и получения последних изменений.

  • Настройте автономное содержимое для создания новых активных элементов на основе самого актуального шаблона.

Если вы являетесь партнером, желающим создать собственное решение, ознакомьтесь с руководством по созданию и публикации решений Microsoft Sentinel.

Внимание

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.

Дополнительные сведения о ролях и разрешениях, поддерживаемых для Microsoft Sentinel, см. в статье Разрешения в Microsoft Sentinel.

Поиск содержимого

Центр содержимого предлагает лучший способ найти новое содержимое или управлять уже установленными решениями.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
    Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.

    На странице центра содержимого отображается сетка с возможностью поиска или список решений и автономное содержимое.

  2. Отфильтруйте отображаемый список, выбрав определенные значения из фильтров или введя любую часть имени содержимого или описание в поле поиска .

    Дополнительные сведения см. в статье Категории встроенного содержимого и решений Microsoft Sentinel.

  3. Выберите представление карточки, чтобы просмотреть дополнительные сведения о решении.

    Каждый элемент содержимого показывает категории, которые применяются к нему, и решения показывают типы содержимого, включенные. Например, на следующем рисунке решение Cisco Umbrella перечисляет одну из ее категорий как Security — Cloud Security и указывает, что она включает соединитель данных, правила аналитики, запросы охоты, сборники схем и многое другое.

Установка или обновление содержимого

Установите автономное содержимое и решения по отдельности или все вместе. Дополнительные сведения о массовых операциях см. в разделе "Массовая установка и обновление содержимого " в следующем разделе.

Если развернутое решение имеет обновления с момента последнего развертывания, в представлении списка отображается обновление в столбце состояния. Решение также включается в число обновлений в верхней части страницы.

Ниже приведен пример установки отдельного решения.

  1. В центре контента найдите и выберите решение.

  2. В области сведений о решениях в правом нижнем углу выберите "Просмотреть сведения".

  3. Выберите "Создать " или "Обновить".

  4. На вкладке "Основные сведения" введите подписку, группу ресурсов и рабочую область для развертывания решения. Например:

    Снимок экрана мастера установки решения с вкладкой

  5. Нажмите кнопку "Далее ", чтобы перейти к оставшимся вкладкам, чтобы узнать об этом, и в некоторых случаях настроить каждый из компонентов содержимого.

    Вкладки соответствуют содержимому, предлагаемому решением. Различные решения могут иметь разные типы содержимого, поэтому в каждом решении могут не отображаться одни и те же вкладки.

    Вам также может быть предложено ввести учетные данные в службу, не относящуюся к Майкрософт, чтобы Microsoft Sentinel мог пройти проверку подлинности в ваших системах. Например, с сборниками схем может потребоваться выполнить действия реагирования, как указано в системе.

  6. На вкладке "Просмотр и создание " дождитесь Validation Passed сообщения.

  7. Выберите "Создать или обновить ", чтобы развернуть решение. Вы также можете выбрать ссылку Скачать шаблон для автоматизации, чтобы развернуть решение в виде кода.

Установка с зависимостями

Некоторые решения имеют зависимости для установки, включая множество доменных решений и решений, использующих унифицированные соединители AMA для CEF, Syslog или пользовательских журналов.

В таких случаях выберите " Установить с зависимостями" , чтобы убедиться, что необходимые соединители данных также установлены. Выберите одну или несколько зависимостей, чтобы установить их вместе с исходным решением. Исходное решение, которое вы решили установить, всегда выбирается по умолчанию.

Если один или несколько решений зависимостей уже установлены, но имеет обновления, используйте кнопку "Установить и обновить " для установки и обновления всех выбранных решений массово. Например:

Снимок экрана: установка нескольких зависимостей решения в массовом режиме.

После установки решения каждый тип контента в решении может потребовать дополнительных действий по настройке. Дополнительные сведения см. в разделе "Включение элементов содержимого" в решении.

Массовое установка и обновление содержимого

Центр содержимого поддерживает представление списка в дополнение к представлению карточек по умолчанию. Выберите представление списка для установки нескольких решений и автономного содержимого одновременно. Автономное содержимое обновляется автоматически. Любое активное или пользовательское содержимое, созданное на основе решений или автономного содержимого, установленного из концентратора содержимого, остается неуправляемым.

  1. Чтобы установить или обновить элементы в массовом режиме, перейдите в представление списка.

  2. Выполните поиск или фильтрацию, чтобы найти содержимое, которое требуется установить или обновить в массовом режиме.

  3. Установите флажок для каждого решения или автономного содержимого, которое требуется установить или обновить.

  4. Нажмите кнопку "Установить и обновить ". Снимок экрана: представление списка решений с несколькими решениями, выбранными и выполняемыми для установки.

    Если выбранное решение или автономное содержимое уже установлено или обновлено, действие не выполняется для этого элемента. Это не мешает обновлению и установке других элементов.

  5. Выберите "Управление " для каждого установленного решения. Для настройки типов контента в решении может потребоваться дополнительная информация. Дополнительные сведения см. в разделе "Включение элементов содержимого" в решении.

Включение элементов содержимого в решении

Централизованное управление элементами содержимого для установленных решений из концентратора контента.

  1. В центре содержимого выберите установленное решение версии 2.0.0 или выше.

  2. На странице сведений о решениях выберите Управление.

    Снимок экрана: кнопка

  3. Просмотрите список элементов содержимого.

    Снимок экрана: описание решения и список элементов содержимого для решения действий Azure.

  4. Выберите элемент содержимого, чтобы приступить к работе.

Управление каждым типом контента

В следующих разделах приведены некоторые советы по работе с различными типами контента при управлении решением.

Соединитель данных

Чтобы подключить соединитель данных, выполните действия по настройке.

  1. Выберите Открыть страницу соединителя.

  2. Выполните действия по настройке соединителя данных.

    Снимок экрана: элемент содержимого соединителя данных для решения действий Azure, в котором состояние отключено.

    После обнаружения соединителя данных и журналов состояние изменится на Подключено.

Правило аналитики

Создайте правило из шаблона или измените существующее правило.

  1. Просмотрите шаблон в коллекции шаблонов аналитики.

  2. Если шаблон еще не используется, нажмите кнопку "Создать>правило" и выполните действия, чтобы включить правило аналитики.

    После создания правила количество активных правил, созданных из шаблона, отображается в столбце "Создано содержимое ".

  3. Выберите ссылку "Активные правила", чтобы изменить существующее правило. Например, ссылка на активное правило на следующем изображении находится в разделе "Содержимое" создано и отображается 2 элемента.

    Снимок экрана: элемент содержимого правила аналитики в решении для действий Azure.

Запрос охоты

Запустите предоставленный запрос охоты или настройте его.

  1. Чтобы начать поиск сразу, выберите "Выполнить запрос " на странице сведений, чтобы получить быстрые результаты.

    Снимок экрана: клонированные элементы содержимого запроса охоты в решении для действий Azure.

  2. Чтобы настроить запрос на охоту, выберите ссылку в столбце "Имя контента".

    Из коллекции охот можно создать клон шаблона запроса только для чтения, перейдя в меню многоточия. Запросы охоты, созданные таким образом, отображаются как элементы в столбце созданного содержимого концентратора контента .

Книга

Чтобы настроить книгу, созданную из шаблона, создайте экземпляр книги.

  1. Выберите шаблон Представления, чтобы открыть книгу и просмотреть визуализации.

  2. Нажмите кнопку "Сохранить ", чтобы создать экземпляр шаблона книги.

  3. Просмотрите сохраненную настраиваемую книгу, выбрав "Просмотреть сохраненную книгу".

  4. В центре содержимого выберите ссылку на 1 элемент в столбце созданного содержимого для управления книгой.

    Снимок экрана: сохраненный элемент книги в решении для действия Azure.

Средство синтаксического анализа

При установке решения все включенные средства синтаксического анализа добавляются в качестве функций рабочей области в Log Analytics.

  1. Выберите "Загрузить код функции", чтобы открыть Log Analytics и просмотреть или запустить код функции.

  2. Выберите "Использовать в редакторе ", чтобы открыть Log Analytics с именем средства синтаксического анализа, готовым к добавлению в настраиваемый запрос.

    Снимок экрана: тип контента синтаксического анализа в решении.

Подробный обзор типов

Создайте сборник схем из шаблона.

  1. Выберите ссылку "Имя контента" сборника схем.

  2. Выберите шаблон и выберите " Создать сборник схем".

  3. После создания сборника схем активная сборника схем отображается в столбце созданного содержимого.

  4. Выберите ссылку на активный сборник схем 1 , чтобы управлять сборником схем.

    Снимок экрана: тип контента типа сборника схем в решении.

Поиск модели поддержки содержимого

Каждое решение и отдельный элемент содержимого объясняют свою модель поддержки в области сведений в поле поддержки , где указана корпорация Майкрософт или имя партнера. Например:

Снимок экрана: где можно найти модель поддержки для решения.

При обращении в службу поддержки могут потребоваться другие сведения о решении, такие как издатель, поставщик и значения идентификатора плана. Найдите эти сведения на странице сведений на вкладке сведений об использовании и поддержке .

Снимок экрана: сведения об использовании и поддержке решения.

Следующие шаги

В этом документе вы узнали, как найти и развернуть встроенные решения и автономное содержимое для Microsoft Sentinel.

Многие решения включают соединители данных, которые необходимо настроить, чтобы начать прием данных в Microsoft Sentinel. Каждый соединитель данных имеет собственный набор требований, подробных на странице соединителя данных в Microsoft Sentinel.

Дополнительные сведения см. в разделе Подключение к источнику данных.