Dela via


Ändringar i centralisering av innehåll i Microsoft Sentinel

Microsoft Sentinel-innehållshubben möjliggör identifiering och installation på begäran av OOTB-innehåll (out-of-the-box) i ett enda steg. Tidigare fanns en del av det här OOTB-innehållet endast i olika galleriavsnitt i Microsoft Sentinel. Nu är alla följande galleriinnehållsmallar tillgängliga i innehållshubben som fristående objekt eller som en del av paketerade lösningar:

  • Dataanslutningar
  • Analysregelmallar
  • Jaktfrågor
  • Spelboksmallar
  • Arbetsboksmallar

Ändringar i innehållshubben

För att centralisera allt OOTB-innehåll har vi dragit tillbaka innehållsmallarna endast för gallerier. De äldre galleriinnehållsmallarna uppdateras inte längre konsekvent, och innehållshubben är där OOTB-innehåll håller sig uppdaterat. Innehållshubben innehåller även uppdaterade arbetsflöden för lösningar och automatiska uppdateringar för fristående innehåll.

För att underlätta den här övergången har vi publicerat ett centralt verktyg för att återställa in USE-tillbakadragna mallar från motsvarande lösningar för innehållshubbar.

Återställ IN USE-tillbakadragna mallar med centralt verktyg

Nu när innehållshubbens centraliseringsändringar har slutförts finns här en översikt över hur du slutför processen för att återställa det centrala verktyget.

  1. Välj länken i varningsbanderollen för att återställa in USE-tillbakadragna innehållsmallar med endast galleri.

    Den här skärmbilden visar ett exempel på varningsbanderollen som finns i galleriet Arbetsböcker . Screenshot showing orange warning banner with link to initiate central tool.

  2. Välj länken och läs sidan noggrant.

  3. Välj Fortsätt och granska listan över innehåll som verktyget genererar.

    Screenshot shows central tool page including details on how to use it.

  4. Starta installationen genom att välja Slutför centralisering . Markeringen är fast och kan inte ändras.

    Screenshot shows the list of content the tool generates.

Sidändring för dataanslutning

Alla dataanslutningar är nu en del av en lösning. Tidigare, för att höja upp instrumentpanelsvisualiseringar (kallas nu arbetsböcker) och tillhandahålla KQL-exempelfrågor, inkluderade vi några av dessa objekt på fliken Nästa steg på sidan för dataanslutning. Vi har inaktuellt nästa steg-delen av dataanslutningssidan till förmån för det nya lösningsinnehållsbeteendet där alla lösningskomponenter hanteras tillsammans med dataanslutningen.

Nyckeln till att uppleva det uppdaterade beteendet är att börja i Innehållshubben. En jämförelse av det tidigare beteendet med den nya upplevelsen finns i Azure Activity Data Connector. När du har installerat lösningen från innehållshubben och valt Hantera är hela lösningen tillgänglig för inspektion. Om du vill ha en visualisering av Azure Activity-dataanslutningsappen kan du visa mallen för arbetsboken. Om du vill se KQL-frågor börjar du med datatabellen. För avancerade frågor kan du titta på analysregler och jaktfrågor.

Mer information om den nya lösningens innehållsbeteende finns i Identifiera och distribuera OOTB-innehåll.

Om det fanns en viss exempelfråga för en dataanslutning från tredje part som du letar efter publicerar vi dem fortfarande i indexet Alla anslutningsappar . Här är till exempel exempelfrågorna för Jamf Protect-anslutningsappen.

GitHub-ändringar i Microsoft Sentinel

Microsoft Sentinel har en officiell GitHub-lagringsplats för communitybidrag som granskas av Microsoft och communityn. Det är källan för de flesta innehållsobjekten i innehållshubben.

För konsekvent identifiering av det här innehållet har OOTB-innehållscentraliseringsändringarna redan utökats till Microsoft Sentinel GitHub-lagringsplatsen:

  • Allt OOTB-innehåll som paketeras från content hub-lösningar lagras nu i Mappen Lösningar för GitHub-lagringsplatsen.
  • Alla fristående OOTB-innehållsobjekt finns kvar på sina respektive platser.

Dessa ändringar i innehållshubben och Microsoft Sentinel GitHub-lagringsplatsen slutför resan mot centralisering av Microsoft Sentinel-innehåll.

När kommer den här ändringen?

Centraliseringsändringarna har släppts! Microsoft Sentinel GitHub-ändringarna har redan gjorts. Fristående innehåll är tillgängligt i befintliga GitHub-mappar och lösningsinnehållet har flyttats till mappen Lösningar .

Ändringen av fliken Nästa steg har redan slutförts.

Ändringsomfång

Den här ändringen är begränsad till endast galleriinnehållstypen för mallar. Alla dessa mallar och mer OOTB-innehåll är tillgängliga i innehållshubben som lösningar eller fristående innehåll.

För Microsoft Sentinel GitHub-lagringsplatsen visas nu OOTB-innehåll som paketeras i lösningar i innehållshubben endast under GitHub-lagringsplatsens lösningsmapp. Det andra befintliga GitHub-innehållet är begränsat till följande mappar och innehåller endast fristående innehållsobjekt. Innehållet i de återstående GitHub-mapparna som inte nämns i den här listan har inga ändringar.

Vad ändras inte?

Den här ändringen påverkar inte aktiva eller anpassade objekt (skapade från mallar eller på annat sätt). Mer specifikt påverkar den här ändringen inte följande objekt:

  • Dataanslutningar med status = Anslut ed.
  • Aviseringsregler eller identifieringar (aktiverade eller inaktiverade) på fliken Aktiva regler i analysgalleriet.
  • Sparade arbetsböcker på fliken Mina arbetsböcker i arbetsboksgalleriet.
  • Klonat innehåll eller Anpassad innehållskälla = i jaktgalleriet.
  • Aktiva spelböcker (aktiverade eller inaktiverade) på fliken Aktiva spelböcker i automationsgalleriet .

Den här ändringen påverkar inte heller några OOTB-innehållsmallar som installerats från innehållshubben (identifierbara som innehållskällans = innehållshubb).

Vad förändras?

Alla mallgallerier visar nu en varningsbanderoll i produkten. Den här banderollen innehåller en länk till ett verktyg som ska köras i Microsoft Sentinel-portalen. När du aktiverar verktyget startas en guidad upplevelse för att återställa innehållsmallarna för in use-tillbakadragna mallar från innehållshubben.

Det här verktyget behöver bara köras en gång per arbetsyta, så se till att planera med din organisation. När verktyget har körts försvinner varningsbanderollen från mallgallerierna på arbetsytan.

I följande tabell visas specifika effekter på innehållsmallarna för var och en av dessa gallerier. Förvänta dig dessa ändringar nu när OOTB-innehållscentraliseringen är live.

Content type Påverkan
Dataanslutningsprogram Mallar som kan identifieras som innehåll i innehållskällans = galleri och Status = Inte ansluten visas inte längre i galleriet för dataanslutningsappar.
Analys Mallar som kan identifieras som Galleri för källnamn = visas inte längre i analysgalleriet.
Jakt Mallar med innehållskällans = galleriinnehåll visas inte längre i jaktgalleriet.
Strategiböcker Mallar som kan identifieras som Galleri för källnamn = visas inte längre i automationsspelboksgalleriet.
Arbetsböcker Mallar med innehållskällans = galleriinnehåll visas inte längre i arbetsboksgalleriet.

Här är ett exempel på en analysregel före och efter att centraliseringen har ändrats och verktyget har körts:

  • Regeln för aktiv analys ändras inte alls. Den baseras på en analysregelmall som ska dras tillbaka.

    Screenshot that shows an active analytics rule before centralization changes.

    Den här skärmbilden visar en mall för analysregler som ska dras tillbaka.

    Screenshot that shows the analytics rule template that will be retired.

  • När du har kört verktyget för att återställa analysregelmallen ändras källan till den lösning som den återställs från.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

Åtgärd krävs

  • Installera nytt OOTB-innehåll från innehållshubben och uppdatera lösningarna efter behov för att få de senaste versionerna av mallar.
  • För befintliga galleriinnehållsmallar som används kan du hämta framtida uppdateringar genom att installera lösningar eller fristående innehållsobjekt från innehållshubben. Galleriinnehållet i funktionsgallerierna kan vara inaktuellt.
  • Om du har program eller processer som direkt hämtar OOTB-innehåll från Microsoft Sentinel GitHub-lagringsplatsen uppdaterar du platserna så att de inkluderar att hämta OOTB-innehåll från mappen Lösningar utöver befintliga innehållsmappar.
  • Planera med din organisation som ska köra verktyget, och när, nu när varningsbanderollen och ändringarna är live. Verktyget måste köras en gång på en arbetsyta för att återställa alla in use-tillbakadragna mallar från innehållshubben.
  • Läs följande vanliga frågor och svar om du vill veta mer om din miljö.

Vanliga frågor och svar om innehållscentralisering

Kommer den här ändringen att påverka min SOC-aviseringsgenerering eller incidentgenerering och hantering?

Nej. Det påverkar inte aktiva aviseringsregler eller identifieringar, aktiva spelböcker, klonade jaktfrågor eller sparade arbetsböcker. Ändringen av OOTB-innehållscentralisering påverkar inte din aktuella incidentgenerering och hanteringsprocesser.

Ja. Följande typer av analysregelmallar är undantagna från den här ändringen:

  • Regelmallar för avvikelser
  • Fusionsregelmallar
  • REGELmallar för ML Behavior Analytics (maskininlärning)
  • Regelmallar för Microsoft Security (incidentskapande)
  • Mallar för hotinformationsregel

Kommer den här ändringen att påverka något av API:erna?

Ja. För närvarande är de enda REST API-anropen för Microsoft Sentinel som finns för hantering av Get innehållsmallar och List åtgärder för aviseringsregelmallar. De här åtgärderna innehåller endast innehållsmallar för gallerier och uppdateras inte. Mer information om dessa åtgärder finns i den aktuella REST API-referensen för aviseringsregelmallar.

Nya REST API-åtgärder på innehållshubben kommer snart att vara tillgängliga för att möjliggöra OOTB-scenarier för innehållshantering mer allmänt. Den här API-uppdateringen innehåller åtgärder för samma innehållstyper som omfattas av centraliseringsändringarna (dataanslutningsprogram, spelboksmallar, arbetsboksmallar, analysregelmallar, jaktfrågor). En mekanism för att uppdatera analysregelmallar som är installerade på arbetsytan finns också i översikten.

Åtgärd som krävs: Planera att uppdatera dina program och processer för att använda de nya API-åtgärderna för OOTB-innehållshantering på innehållshubben när de är tillgängliga. Ursprungligen uttryckte vi att detta skulle vara tillgängligt Q2 2023, men de är inte redo ännu.

Hur identifierar det centrala verktyget mina OOTB-innehållsmallar som används?

Verktyget skapar en lista över lösningar baserat på två kriterier: dataanslutningar med status = Anslut ed och IN USE-spelboksmallar. När verktyget har skapat den föreslagna listan över lösningar visas listan för godkännande. Om listan godkänns installerar verktyget alla dessa lösningar. Eftersom OOTB-innehållet återställs baserat på lösningar kan du få fler mallar än du faktiskt använder.

Det här centrala verktyget är ett bra sätt att få dina OOTB-innehållsmallar i BRUK återställda från innehållshubben. Du kan installera utelämnat OOTB-innehåll direkt från innehållshubben.

Vad händer om jag använder API:er för att ansluta datakällor på min Microsoft Sentinel-arbetsyta?

Om en API-dataanslutning matchar datatypen för dataanslutningen visas den för närvarande som Status = Anslut ed i galleriet för dataanslutningsappar. När centraliseringsändringarna har aktiverats måste den specifika dataanslutningen installeras från en respektive lösning för att få samma beteende.

Åtgärd som krävs: Planera för att uppdatera processer eller verktyg för dina distributioner av dataanslutningsappar så att de installeras från content hub-lösningar innan du ansluter med API:er för datainmatning. REST API-operatorn för att installera en lösning kommer under andra kvartalet 2023 med API:erna för OOTB-innehållshantering.

Vad händer om jag arbetar med innehåll med hjälp av funktionen lagringsplatser i Microsoft Sentinel?

Lagringsplatser distribuerar specifikt anpassat eller aktivt innehåll i Microsoft Sentinel. Ändringar i OOTB-innehållscentralisering påverkar inte innehåll som distribueras via lagringsplatserna.

Påverkar detta distributionsgrupper i arbetsytehanteraren?

Precis som lagringsplatser distribuerar arbetsytehanteraren endast anpassat eller aktivt innehåll, så ändringar i OOTB-innehållscentralisering påverkar inte heller innehåll som distribueras via arbetsytehanteraren.

Nästa steg

Ta en titt på dessa andra resurser för OOTB-innehåll och innehållshubben: