Identifiera och hantera innehåll i Microsoft Sentinel

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Microsoft Sentinel-innehållshubben är din centraliserade plats för att identifiera och hantera inbyggt innehåll (inbyggt). Där hittar du paketerade lösningar för produkter från slutpunkt till slutpunkt efter domän eller bransch. Du har åtkomst till det stora antalet fristående bidrag som finns på vår GitHub-lagringsplats och funktionsblad.

  • Identifiera lösningar och fristående innehåll med en konsekvent uppsättning filtreringsfunktioner baserat på status, innehållstyp, support, leverantör och kategori.

  • Installera innehåll på din arbetsyta på en gång eller individuellt.

  • Visa innehåll i listvyn och se snabbt vilka lösningar som har uppdateringar. Uppdatera lösningar samtidigt som fristående innehåll uppdateras automatiskt.

  • Hantera en lösning för att installera dess innehållstyper och få de senaste ändringarna.

  • Konfigurera fristående innehåll för att skapa nya aktiva objekt baserat på den senaste mallen.

Om du är en partner som vill skapa en egen lösning kan du läsa byggguiden för Microsoft Sentinel-lösningar för lösningsredigering och publicering.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

För att kunna installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.

Mer information om andra roller och behörigheter som stöds för Microsoft Sentinel finns i Behörigheter i Microsoft Sentinel.

Upptäck innehåll

Innehållshubben är det bästa sättet att hitta nytt innehåll eller hantera de lösningar som du redan har installerat.

  1. För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
    För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.

    Sidan Innehållshubb visar ett sökbart rutnät eller en lista över lösningar och fristående innehåll.

  2. Filtrera listan som visas, antingen genom att välja specifika värden från filtren eller ange någon del av ett innehållsnamn eller en beskrivning i sökfältet.

    Mer information finns i Kategorier för innehåll och lösningar i Microsoft Sentinel.

  3. Välj kortvyn för att visa mer information om en lösning.

    Varje innehållsobjekt visar kategorier som gäller för det, och lösningar visar vilka typer av innehåll som ingår. I följande bild listar till exempel Cisco Umbrella-lösningen en av dess kategorier som Säkerhet – Molnsäkerhet, och anger att den innehåller en dataanslutning, analysregler, jaktfrågor, spelböcker med mera.

Installera eller uppdatera innehåll

Installera fristående innehåll och lösningar individuellt eller tillsammans i grupp. Mer information om massåtgärder finns i Massinstallation och uppdatering av innehåll i nästa avsnitt.

Om en lösning som du har distribuerat har uppdateringar sedan du senast distribuerade den visar listvyn Uppdatering i statuskolumnen. Lösningen ingår också i antalet Uppdateringar överst på sidan.

Här är ett exempel som visar installationen av en enskild lösning.

  1. I innehållshubben söker du efter och väljer lösningen.

  2. I fönstret lösningsinformation går du till den nedre högra sidan och väljer Visa information.

  3. Välj Skapa eller uppdatera.

  4. På fliken Grundläggande anger du prenumerationen, resursgruppen och arbetsytan för att distribuera lösningen. Till exempel:

    Skärmbild av en lösningsinstallationsguide som visar fliken Grundläggande.

  5. Välj Nästa för att gå igenom de återstående flikarna för att lära dig mer om, och i vissa fall konfigurera, var och en av innehållskomponenterna.

    Flikarna motsvarar det innehåll som erbjuds av lösningen. Olika lösningar kan ha olika typer av innehåll, så du kanske inte ser samma flikar i varje lösning.

    Du kan också uppmanas att ange autentiseringsuppgifter till en tjänst från tredje part så att Microsoft Sentinel kan autentisera till dina system. Med spelböcker kanske du till exempel vill vidta svarsåtgärder enligt vad som föreskrivs i systemet.

  6. På fliken Granska + skapa väntar du på meddelandet Validation Passed .

  7. Välj Skapa eller uppdatera för att distribuera lösningen. Du kan också välja länken Ladda ned en mall för automatisering för att distribuera lösningen som kod.

Varje innehållstyp i lösningen kan kräva fler steg för att konfigurera. Mer information finns i Aktivera innehållsobjekt i en lösning.

Massinstallera och uppdatera innehåll

Innehållshubben stöder en listvy utöver standardkortvyn. Välj listvyn för att installera flera lösningar och fristående innehåll samtidigt. Fristående innehåll hålls uppdaterat automatiskt. Allt aktivt eller anpassat innehåll som skapats baserat på lösningar eller fristående innehåll som installerats från innehållshubben förblir orört.

  1. Om du vill installera eller uppdatera objekt i grupp ändrar du till listvyn.

  2. Sök efter eller filtrera för att hitta det innehåll som du vill installera eller uppdatera i grupp.

  3. Markera kryssrutan för varje lösning eller fristående innehåll som du vill installera eller uppdatera.

  4. Välj knappen Installera/uppdatera. Skärmbild av listvyn lösningar med flera lösningar valda och pågår för installation.

    Om en lösning eller fristående innehåll som du har valt redan har installerats eller uppdaterats vidtas ingen åtgärd för objektet. Det stör inte uppdateringen och installationen av de andra objekten.

  5. Välj Hantera för varje lösning som du har installerat. Innehållstyper i lösningen kan kräva mer information för att du ska kunna konfigurera. Mer information finns i Aktivera innehållsobjekt i en lösning.

Aktivera innehållsobjekt i en lösning

Hantera innehållsobjekt centralt för installerade lösningar från innehållshubben.

  1. I innehållshubben väljer du en installerad lösning där versionen är 2.0.0 eller senare.

  2. På sidan lösningsinformation väljer du Hantera.

    Skärmbild av knappen Hantera på informationssidan för azure-aktivitetsinnehållshubbens lösning.

  3. Granska listan över innehållsobjekt.

    Skärmbild av lösningsbeskrivning och lista över innehållsobjekt för Azure Activity-lösningen.

  4. Välj ett innehållsobjekt för att komma igång.

Hantera varje innehållstyp

Följande avsnitt innehåller några tips om hur du arbetar med de olika innehållstyperna när du hanterar en lösning.

Datakoppling

Slutför konfigurationsstegen för att ansluta en dataanslutning.

  1. Välj Sidan Öppna anslutningsapp.

  2. Slutför konfigurationsstegen för dataanslutningsappen.

    Skärmbild av innehållsobjektet för dataanslutningsappen för Azure Activity-lösningen där statusen är frånkopplad.

    När du har konfigurerat dataanslutningsappen och loggarna har identifierats ändras statusen till Anslut ed.

Analysregel

Skapa en regel från en mall eller redigera en befintlig regel.

  1. Visa mallen i analysmallgalleriet.

  2. Om mallen inte används ännu väljer du Öppna>skapa regel och följer stegen för att aktivera analysregeln.

    När du har skapat en regel visas antalet aktiva regler som skapats från mallen i kolumnen Skapat innehåll .

  3. Välj länken aktiva regler för att redigera den befintliga regeln. Den aktiva regellänken i följande bild finns till exempel under Innehåll som skapats och visar 2 objekt.

    Skärmbild av innehållsobjektet för analysregeln i lösningen för Azure Activity.

Jaktfråga

Kör den angivna jaktfrågan eller anpassa den.

  1. Om du vill börja söka direkt väljer du Kör fråga på informationssidan för att få snabba resultat.

    Skärmbild av klonat jaktfrågeinnehållsobjekt i lösningen för Azure Activity.

  2. Om du vill anpassa din jaktfråga väljer du länken i kolumnen Innehållsnamn .

    Från jaktgalleriet kan du skapa en klon av den skrivskyddade jaktfrågemallen genom att gå till ellipsmenyn. Jaktfrågor som skapas på det här sättet visas som objekt i innehållshubben Skapad innehållskolumn .

Arbetsbok

Om du vill anpassa en arbetsbok som skapats från en mall skapar du en instans av en arbetsbok.

  1. Välj Visa mall för att öppna arbetsboken och se visualiseringarna.

  2. Välj Spara för att skapa en instans av arbetsboksmallen.

  3. Visa den sparade anpassningsbara arbetsboken genom att välja Visa sparad arbetsbok.

  4. Från innehållshubben väljer du länken 1 objekt i kolumnen Skapat innehåll för att hantera arbetsboken.

    Skärmbild av sparat arbetsboksobjekt i lösningen för Azure Activity.

Parser

När en lösning installeras läggs alla parsare som ingår till som arbetsytefunktioner i Log Analytics.

  1. Välj Läs in funktionskoden för att öppna Log Analytics och visa eller köra funktionskoden.

  2. Välj Använd i redigeraren för att öppna Log Analytics med parsernamnet redo att lägga till i din anpassade fråga.

    Skärmbild av innehållstypen parser i en lösning.

Playbook

Skapa en spelbok från en mall.

  1. Välj länken Innehållsnamn för spelboken.

  2. Välj mallen och välj Skapa spelbok.

  3. När spelboken har skapats visas den aktiva spelboken i kolumnen Skapat innehåll .

  4. Välj länken active playbook 1 item (aktiv spelbok 1) för att hantera spelboken.

    Skärmbild av innehållstypen spelbokstyp i en lösning.

Hitta supportmodellen för ditt innehåll

Varje lösning och fristående innehållsobjekt förklarar sin supportmodell i informationsfönstret i rutan Support , där antingen Microsofts eller en partners namn visas. Till exempel:

Skärmbild av var du hittar din supportmodell för din lösning.

När du kontaktar supporten kan du behöva annan information om din lösning, till exempel värden för utgivare, provider och plan-ID. Hitta den här informationen på informationssidan på fliken Användningsinformation och support .

Skärmbild av användnings- och supportinformation för en lösning.

Nästa steg

I det här dokumentet har du lärt dig hur du hittar och distribuerar inbyggda lösningar och fristående innehåll för Microsoft Sentinel.

Många lösningar omfattar dataanslutningar som du behöver konfigurera så att du kan börja mata in dina data i Microsoft Sentinel. Varje dataanslutning har en egen uppsättning krav som beskrivs på dataanslutningssidan i Microsoft Sentinel.

Mer information finns i Anslut datakällan.