Identifiera och hantera innehåll i Microsoft Sentinel
Microsoft Sentinel-innehållshubben är din centraliserade plats för att identifiera och hantera inbyggt innehåll (inbyggt). Där hittar du paketerade lösningar för produkter från slutpunkt till slutpunkt efter domän eller bransch. Du har åtkomst till det stora antalet fristående bidrag som finns på vår GitHub-lagringsplats och funktionsblad.
Identifiera lösningar och fristående innehåll med en konsekvent uppsättning filtreringsfunktioner baserat på status, innehållstyp, support, leverantör och kategori.
Installera innehåll på din arbetsyta på en gång eller individuellt.
Visa innehåll i listvyn och se snabbt vilka lösningar som har uppdateringar. Uppdatera lösningar samtidigt som fristående innehåll uppdateras automatiskt.
Hantera en lösning för att installera dess innehållstyper och få de senaste ändringarna.
Konfigurera fristående innehåll för att skapa nya aktiva objekt baserat på den senaste mallen.
Om du är en partner som vill skapa en egen lösning kan du läsa byggguiden för Microsoft Sentinel-lösningar för lösningsredigering och publicering.
Viktigt!
Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Förutsättningar
För att kunna installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
Mer information om andra roller och behörigheter som stöds för Microsoft Sentinel finns i Behörigheter i Microsoft Sentinel.
Upptäck innehåll
Innehållshubben är det bästa sättet att hitta nytt innehåll eller hantera de lösningar som du redan har installerat.
För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.Sidan Innehållshubb visar ett sökbart rutnät eller en lista över lösningar och fristående innehåll.
Filtrera listan som visas, antingen genom att välja specifika värden från filtren eller ange någon del av ett innehållsnamn eller en beskrivning i sökfältet.
Mer information finns i Kategorier för innehåll och lösningar i Microsoft Sentinel.
Välj kortvyn för att visa mer information om en lösning.
Varje innehållsobjekt visar kategorier som gäller för det, och lösningar visar vilka typer av innehåll som ingår. I följande bild listar till exempel Cisco Umbrella-lösningen en av dess kategorier som Säkerhet – Molnsäkerhet, och anger att den innehåller en dataanslutning, analysregler, jaktfrågor, spelböcker med mera.
Installera eller uppdatera innehåll
Installera fristående innehåll och lösningar individuellt eller tillsammans i grupp. Mer information om massåtgärder finns i Massinstallation och uppdatering av innehåll i nästa avsnitt.
Om en lösning som du har distribuerat har uppdateringar sedan du senast distribuerade den visar listvyn Uppdatering i statuskolumnen. Lösningen ingår också i antalet uppdateringar överst på sidan.
Här är ett exempel som visar installationen av en enskild lösning.
I innehållshubben söker du efter och väljer lösningen.
I fönstret lösningsinformation går du till den nedre högra sidan och väljer Visa information.
Välj Skapa eller uppdatera.
På fliken Grundläggande anger du prenumerationen, resursgruppen och arbetsytan för att distribuera lösningen. Till exempel:
Välj Nästa för att gå igenom de återstående flikarna för att lära dig mer om, och i vissa fall konfigurera, var och en av innehållskomponenterna.
Flikarna motsvarar det innehåll som erbjuds av lösningen. Olika lösningar kan ha olika typer av innehåll, så du kanske inte ser samma flikar i varje lösning.
Du kan också uppmanas att ange autentiseringsuppgifter till en tjänst som inte är microsoft så att Microsoft Sentinel kan autentisera till dina system. Med spelböcker kanske du till exempel vill vidta svarsåtgärder enligt vad som föreskrivs i systemet.
På fliken Granska + skapa väntar du på meddelandet
Validation Passed
.Välj Skapa eller uppdatera för att distribuera lösningen. Du kan också välja länken Ladda ned en mall för automatisering för att distribuera lösningen som kod.
Installera med beroenden
Vissa lösningar har beroenden att installera, inklusive många domänlösningar och lösningar som använder enhetliga AMA-anslutningsappar för CEF, Syslog eller anpassade loggar.
I sådana fall väljer du Installera med beroenden för att säkerställa att de dataanslutningar som krävs också är installerade. Därifrån väljer du ett eller flera av beroendena för att installera dem tillsammans med den ursprungliga lösningen. Den ursprungliga lösningen som du valde att installera är alltid markerad som standard.
Om en eller flera av beroendelösningarna redan är installerade, men har uppdateringar, använder du knappen Installera/uppdatera för att både installera och uppdatera alla valda lösningar i bulk. Till exempel:
När du har installerat en lösning kan varje innehållstyp i lösningen kräva fler steg för att konfigurera. Mer information finns i Aktivera innehållsobjekt i en lösning.
Massinstallera och uppdatera innehåll
Innehållshubben stöder en listvy utöver standardkortvyn. Välj listvyn för att installera flera lösningar och fristående innehåll samtidigt. Fristående innehåll hålls uppdaterat automatiskt. Allt aktivt eller anpassat innehåll som skapats baserat på lösningar eller fristående innehåll som installerats från innehållshubben förblir orört.
Om du vill installera eller uppdatera objekt i grupp ändrar du till listvyn.
Sök efter eller filtrera för att hitta det innehåll som du vill installera eller uppdatera i grupp.
Markera kryssrutan för varje lösning eller fristående innehåll som du vill installera eller uppdatera.
Välj knappen Installera/uppdatera.
Om en lösning eller fristående innehåll som du har valt redan har installerats eller uppdaterats vidtas ingen åtgärd för objektet. Det stör inte uppdateringen och installationen av de andra objekten.
Välj Hantera för varje lösning som du har installerat. Innehållstyper i lösningen kan kräva mer information för att du ska kunna konfigurera. Mer information finns i Aktivera innehållsobjekt i en lösning.
Aktivera innehållsobjekt i en lösning
Hantera innehållsobjekt centralt för installerade lösningar från innehållshubben.
I innehållshubben väljer du en installerad lösning där versionen är 2.0.0 eller senare.
På sidan lösningsinformation väljer du Hantera.
Granska listan över innehållsobjekt.
Välj ett innehållsobjekt för att komma igång.
Hantera varje innehållstyp
Följande avsnitt innehåller några tips om hur du arbetar med de olika innehållstyperna när du hanterar en lösning.
Datakoppling
Slutför konfigurationsstegen för att ansluta en dataanslutning.
Välj Sidan Öppna anslutningsapp.
Slutför konfigurationsstegen för dataanslutningsappen.
När du har konfigurerat dataanslutningsappen och loggarna har identifierats ändras statusen till Ansluten.
Analysregel
Skapa en regel från en mall eller redigera en befintlig regel.
Visa mallen i analysmallgalleriet.
Om mallen inte används ännu väljer du Öppna>skapa regel och följer stegen för att aktivera analysregeln.
När du har skapat en regel visas antalet aktiva regler som skapats från mallen i kolumnen Skapat innehåll .
Välj länken aktiva regler för att redigera den befintliga regeln. Den aktiva regellänken i följande bild finns till exempel under Innehåll som skapats och visar 2 objekt.
Jaktfråga
Kör den angivna jaktfrågan eller anpassa den.
Om du vill börja söka direkt väljer du Kör fråga på informationssidan för att få snabba resultat.
Om du vill anpassa din jaktfråga väljer du länken i kolumnen Innehållsnamn .
Från jaktgalleriet kan du skapa en klon av den skrivskyddade jaktfrågemallen genom att gå till ellipsmenyn. Jaktfrågor som skapas på det här sättet visas som objekt i innehållshubben Skapad innehållskolumn .
Arbetsbok
Om du vill anpassa en arbetsbok som skapats från en mall skapar du en instans av en arbetsbok.
Välj Visa mall för att öppna arbetsboken och se visualiseringarna.
Välj Spara för att skapa en instans av arbetsboksmallen.
Visa den sparade anpassningsbara arbetsboken genom att välja Visa sparad arbetsbok.
Från innehållshubben väljer du länken 1 objekt i kolumnen Skapat innehåll för att hantera arbetsboken.
Parser
När en lösning installeras läggs alla parsare som ingår till som arbetsytefunktioner i Log Analytics.
Välj Läs in funktionskoden för att öppna Log Analytics och visa eller köra funktionskoden.
Välj Använd i redigeraren för att öppna Log Analytics med parsernamnet redo att lägga till i din anpassade fråga.
Playbook
Skapa en spelbok från en mall.
Välj länken Innehållsnamn för spelboken.
Välj mallen och välj Skapa spelbok.
När spelboken har skapats visas den aktiva spelboken i kolumnen Skapat innehåll .
Välj länken active playbook 1 item (aktiv spelbok 1) för att hantera spelboken.
Hitta supportmodellen för ditt innehåll
Varje lösning och fristående innehållsobjekt förklarar sin supportmodell i informationsfönstret i rutan Support , där antingen Microsofts eller en partners namn visas. Till exempel:
När du kontaktar supporten kan du behöva annan information om din lösning, till exempel värden för utgivare, provider och plan-ID. Hitta den här informationen på informationssidan på fliken Användningsinformation och support .
Nästa steg
I det här dokumentet har du lärt dig hur du hittar och distribuerar inbyggda lösningar och fristående innehåll för Microsoft Sentinel.
- Läs mer om Microsoft Sentinel-lösningar.
- Se hela Microsoft Sentinel-lösningskatalogen på Azure Marketplace.
- Hitta domänspecifika lösningar i Microsoft Sentinel-innehållshubbens katalog.
- Ta bort installerat innehåll och lösningar för Microsoft Sentinel.
Många lösningar omfattar dataanslutningar som du behöver konfigurera så att du kan börja mata in dina data i Microsoft Sentinel. Varje dataanslutning har en egen uppsättning krav som beskrivs på dataanslutningssidan i Microsoft Sentinel.
Mer information finns i Ansluta din datakälla.