Aracılığıyla paylaş

Microsoft Sentinel kullanıma açık içerik merkezileştirme değişiklikleri

  • Makale

Microsoft Sentinel içerik hub'ı, kullanıma açık (OOTB) içeriğin ve çözümlerin tek bir adımda bulunmasını ve isteğe bağlı olarak yüklenmesini sağlar. Daha önce, bu OOTB içeriğinin bazıları yalnızca Microsoft Sentinel'in çeşitli galeri bölümlerinde mevcutdu. Şimdi, aşağıdaki galeri içerik şablonlarının tümü tek başına öğeler veya paketlenmiş çözümlerin bir parçası olarak içerik hub'ında kullanılabilir:

  • Veri bağlayıcıları
  • Analiz kuralı şablonları
  • Arama sorguları
  • Playbook şablonları
  • Çalışma kitabı şablonları

İçerik hub'ı değişiklikleri

Tüm OOTB içeriğini merkezi hale getirmek için yalnızca galeri içerik şablonlarını kullanımdan kaldırdık. Eski galeri içerik şablonları artık tutarlı bir şekilde güncelleştirilmedi ve içerik hub'ı OOTB içeriğinin güncel kaldığı yerdir. İçerik hub'ı ayrıca çözümler için güncelleştirilmiş iş akışları ve tek başına içerik için otomatik güncelleştirmeler sağlar.

Bu geçişi kolaylaştırmak için, ilgili içerik hub'ı çözümlerinden KULLANıMdan kaldırılan IN USE şablonlarını yeniden kullanmaya yönelik merkezi bir araç yayımladık.

Merkezi araçla KULLANıMDAN kaldırılacak IN USE şablonlarını yeniden devreye getirme

İçerik hub'ı merkezileştirme değişiklikleri tamamlandıktan sonra merkezi aracın yeniden devreye alma işlemini nasıl tamamlayacağına ilişkin genel bir bakış aşağıdadır.

  1. KULLANIMDA kullanımdan kaldırılmıştır, yalnızca galeri içerik şablonlarını yeniden devreye almak için uyarı başlığındaki bağlantıyı seçin.

    Bu ekran görüntüsü, Çalışma Kitapları galerisinde bulunan uyarı başlığının bir örneğini gösterir. Screenshot showing orange warning banner with link to initiate central tool.

  2. Bağlantıyı seçin ve sayfayı dikkatlice okuyun.

  3. Devam'ı seçin ve aracın oluşturduğu içerik listesini gözden geçirin.

    Screenshot shows central tool page including details on how to use it.

  4. Yüklemeyi başlatmak için Merkezileştirmeyi Tamamla'yı seçin. Seçim sabittir ve değiştirilemez.

    Screenshot shows the list of content the tool generates.

Veri bağlayıcısı sayfa değişikliği

Tüm veri bağlayıcıları artık bir çözümün parçası. Daha önce pano görselleştirmelerini (şimdi çalışma kitapları olarak adlandırılıyor) yükseltmek ve örnek KQL sorguları sağlamak için bu öğelerden birkaçını veri bağlayıcısı sayfasının Sonraki Adımlar sekmesine eklemiştik. Veri bağlayıcısı sayfasının Sonraki Adımlar bölümünü, tüm çözüm bileşenlerinin veri bağlayıcısı ile birlikte yönetildiği yeni çözüm içerik davranışına uygun olarak kullanım dışı bırakılmıştır.

Güncelleştirilmiş davranışı yaşamanın anahtarı İçerik hub'ında başlamaktır. Önceki davranışın yeni deneyimle karşılaştırması için Azure Etkinlik veri bağlayıcısını inceleyin. Çözümü içerik hub'ından yükleyip Yönet'i seçtikten sonra çözümün tamamı denetlenebilir. Azure Etkinliği veri bağlayıcısının görselleştirmesini istiyorsanız, çalışma kitabının şablonunu görüntüleyin. KQL sorgularını görmek istiyorsanız veri tablosuyla başlayın. Gelişmiş sorgular için analiz kurallarına ve tehdit avcılığı sorgularına bakın.

Yeni çözüm içerik davranışı hakkında daha fazla bilgi için bkz . OOTB içeriğini bulma ve dağıtma.

Aradığınız bir üçüncü taraf veri bağlayıcısı için belirli bir örnek sorgu varsa, bunları Tüm bağlayıcılar dizinimizde yayımlamaya devam ederiz. Örneğin, Jamf Protect bağlayıcısı için örnek sorgular aşağıda verilmiştır.

Microsoft Sentinel GitHub değişiklikleri

Microsoft Sentinel,Microsoft ve topluluk tarafından incelenen topluluk katkıları için resmi bir GitHub deposuna sahiptir. İçerik hub'ında içerik öğelerinin çoğunun kaynağıdır.

Bu içeriğin tutarlı bir şekilde bulunması için OOTB içerik merkezileştirme değişiklikleri zaten Microsoft Sentinel GitHub deposuna genişletilmiştir:

  • İçerik hub'ı çözümlerinden paketlenen tüm OOTB içeriği artık GitHub deposunun Çözümler klasöründe depolanır.
  • Tüm tek başına OOTB içerik öğeleri ilgili konumlarında kalır.

İçerik hub'ına ve Microsoft Sentinel GitHub deposunda yapılan bu değişiklikler, Microsoft Sentinel içeriğini merkezileştirme yolculuğunu tamamlar.

Bu değişiklik ne zaman geliyor?

Merkezileştirme değişiklikleri yayınlandı! Microsoft Sentinel GitHub değişiklikleri zaten gerçekleşti. Mevcut GitHub klasörlerinde tek başına içerik mevcuttur ve çözüm içeriği Çözümler klasörüne taşınmıştır.

Sonraki Adımlar sekmesindeki değişiklik zaten tamamlandı.

Değişiklik kapsamı

Bu değişikliğin kapsamı yalnızca galeri içerik türü şablonlarıyla belirlenmiştir. Tüm bu şablonlar ve daha fazla OOTB içeriği, içerik hub'ında çözüm veya tek başına içerik olarak kullanılabilir.

Microsoft Sentinel GitHub deposu için, içerik hub'ında çözümlerde paketlenen OOTB içeriği artık yalnızca GitHub deposunun Çözümler klasöründe listelenmiştir. Diğer mevcut GitHub içeriğinin kapsamı aşağıdaki klasörlere göre belirlenmiştir ve yalnızca tek başına içerik öğeleri içerir. Bu listede belirtilmeyen kalan GitHub klasörlerinin içeriğinde herhangi bir değişiklik yoktur.

Ne değişmiyor?

Bu değişiklik etkin veya özel öğeleri (şablonlardan oluşturulmuş veya başka bir şekilde) etkilemez. Özellikle, bu değişiklik aşağıdaki öğeleri etkilemez:

  • Durum = Bağlan veri bağlayıcıları.
  • Analiz galerisindeki Etkin kurallar sekmesindeki uyarı kuralları veya algılamalar (etkin veya devre dışı).
  • Çalışma kitapları galerisindeki Çalışma kitaplarım sekmesinde kaydedilmiş çalışma kitapları.
  • Tehdit avcılığı galerisinde kopyalanan içerik veya İçerik kaynağı = Özel.
  • Otomasyon galerisindeki Etkin playbook'lar sekmesindeki etkin playbook'lar (etkin veya devre dışı).

Bu değişiklik, içerik hub'ından (İçerik kaynağı = İçerik hub'ı olarak tanımlanabilir) yüklenen OOTB içerik şablonlarını da etkilemez.

Neler değişiyor?

Tüm şablon galerilerinde artık bir ürün içi uyarı başlığı görüntülenir. Bu başlık, Microsoft Sentinel portalında çalışacak bir aracın bağlantısını içerir. Aracı etkinleştirmek, IN USE kullanımdan kaldırılan şablonların içerik şablonlarını içerik hub'ından yeniden devreye almak için kılavuzlu bir deneyim başlatır.

Bu aracın çalışma alanı başına yalnızca bir kez çalışması gerektiğinden kuruluşunuzla planlamayı unutmayın. Araç başarıyla çalıştırıldıktan sonra, uyarı başlığı bu çalışma alanının şablon galerilerinden kaybolur.

Aşağıdaki tabloda, bu galerilerin her biri için içerik şablonları üzerinde belirli etkileri listelemektedir. OOTB içerik merkezileştirmesi canlı olduğu için bu değişiklikleri şimdi bekleyebilirsiniz.

Content type Etki
Veri bağlayıcıları İçerik kaynağı = Galerisi içeriği olarak tanımlanabilen şablonlar ve Bağlı Değil Durumu = artık veri bağlayıcıları galerisinde görünmez.
Analizler Kaynak adı = Galerisi içeriği olarak tanımlanabilir şablonlar artık analiz galerisinde görünmez.
Avcı -lık İçerik kaynağı = Galerisi içeriğine sahip şablonlar artık tehdit avcılığı galerisinde görünmez.
Playbook’lar Kaynak adı = Galerisi içeriği olarak tanımlanabilen şablonlar artık otomasyon playbook'ları galerisinde görünmez.
Çalışma kitapları İçerik kaynağı = Galerisi içeriğine sahip şablonlar artık çalışma kitapları galerisinde görünmez.

Merkezileştirme değişiklikleri ve araç çalıştırıldıktan sonra ve öncesinde bir analiz kuralı örneği aşağıda verilmiştir:

  • Etkin analiz kuralı hiç değişmez. Kullanımdan kaldırılacak analiz kuralı şablonunu temel alır.

    Screenshot that shows an active analytics rule before centralization changes.

    Bu ekran görüntüsü, kullanımdan kaldırılacak bir analiz kuralı şablonunu gösterir.

    Screenshot that shows the analytics rule template that will be retired.

  • Analiz kuralı şablonunu yeniden uygulamak için aracı çalıştırdıktan sonra kaynak, yeniden devreye alınan çözüme dönüşür.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

Eylem gerekiyor

  • İçerik hub'ından yeni OOTB içeriği yükleyin ve şablonların en son sürümlerine sahip olmak için çözümleri güncelleştirin.
  • Kullanımda olan mevcut galeri içerik şablonları için, içerik hub'ından çözümleri veya tek başına içerik öğelerini yükleyerek gelecekteki güncelleştirmeleri alın. Özellik galerilerindeki galeri içeriği güncel olmayabilir.
  • Microsoft Sentinel GitHub deposundan doğrudan OOTB içeriği alan uygulamalarınız veya işlemleriniz varsa, mevcut içerik klasörlerine ek olarak Çözümler klasöründen OOTB içeriği almayı da içerecek şekilde konumları güncelleştirin.
  • Aracı çalıştıracak olan kuruluşunuzla ve uyarı başlığı ve değişiklikler canlı olduğunda plan yapın. İçerik hub'ından kullanımdan kaldırılacak tüm IN USE şablonlarını yeniden devreye almak için aracın çalışma alanında bir kez çalışması gerekir.
  • Ortamınıza uygulanabilecek diğer ayrıntıları öğrenmek için aşağıdaki SSS bölümünü gözden geçirin.

İçerik merkezileştirme hakkında SSS

Bu değişiklik SOC uyarı oluşturmamı veya olay oluşturma ve yönetimimi etkileyecek mi?

Hayır. Etkin uyarı kuralları veya algılamaları, etkin playbook'lar, kopyalanan tehdit avcılığı sorguları veya kaydedilmiş çalışma kitaplarını etkilemez. OOTB içerik merkezileştirme değişikliği geçerli olay oluşturma ve yönetim süreçlerinizi etkilemez.

Galeri içeriği için özel durumlar var mı?

Evet. Aşağıdaki analiz kuralı şablonları türleri bu değişiklikten muaftır:

  • Anomaliler kural şablonları
  • Fusion kuralı şablonları
  • ML Davranış Analizi (makine öğrenmesi) kural şablonları
  • Microsoft Güvenliği (olay oluşturma) kural şablonları
  • Tehdit Bilgileri kuralı şablonları

Bu değişiklik API'lerden herhangi birini etkileyecek mi?

Evet. Şu anda, içerik şablonu yönetimi için mevcut olan tek Microsoft Sentinel REST API çağrıları uyarı kuralı şablonlarına yönelik Get ve List işlemleridir. Bu işlemler yalnızca galeri içerik şablonlarını ortaya çıkar ve güncelleştirilmez. Bu işlemler hakkında daha fazla bilgi için geçerli Uyarı Kuralı Şablonları REST API başvurusuna bakın.

İçerik hub'ına yönelik yeni REST API işlemleri, OOTB içerik yönetimi senaryolarını daha geniş bir şekilde etkinleştirmek için yakında kullanıma sunulacaktır. Bu API güncelleştirmesi, merkezileştirme değişiklikleri kapsamındaki aynı içerik türlerine (veri bağlayıcıları, playbook şablonları, çalışma kitabı şablonları, analiz kuralı şablonları, tehdit avcılığı sorguları) yönelik işlemleri içerir. Çalışma alanında yüklü analiz kuralı şablonlarını güncelleştirme mekanizması da yol haritasında yer alır.

Eylem gerekiyor: Uygulamalarınızı ve işlemlerinizi kullanılabilir olduğunda içerik hub'ına yönelik yeni OOTB içerik yönetimi API'sini kullanacak şekilde güncelleştirmeyi planlayın. Başlangıçta bunun 2. S2 2023'e uygun olacağını belirttik, ancak henüz hazır değiller.

Merkezi araç, kullanımda olan OOTB içerik şablonlarımı nasıl belirleyecek?

Araç, iki ölçüte dayalı bir çözüm listesi oluşturur: Durum = Bağlan ed ve KULLANIMDA playbook şablonlarına sahip veri bağlayıcıları. Araç önerilen çözüm listesini derledikten sonra listeyi onay için sunar. Liste onaylanırsa, araç tüm bu çözümleri yükler. OOTB içeriği çözümlere göre yeniden etkinleştirildiğinden, gerçekten kullandığınızdan daha fazla şablon alabilirsiniz.

Bu merkezi araç, IN USE OOTB içerik şablonlarınızı içerik hub'ından yeniden etkinleştirmek için en iyi çabayı gösterir. Atlanmış OOTB içeriğini doğrudan içerik hub'ından yükleyebilirsiniz.

Microsoft Sentinel çalışma alanımdaki veri kaynaklarına bağlanmak için API'leri kullanıyorsam ne olur?

Şu anda bir API veri bağlantısı veri bağlayıcısı veri türüyle eşleşiyorsa, veri bağlayıcıları galerisinde Durum = Bağlan olarak görünür. Merkezileştirme değişiklikleri canlı olarak tamamlandıktan sonra, aynı davranışı elde etmek için ilgili çözümden belirli veri bağlayıcısının yüklenmesi gerekir.

Eylem gerekiyor: Veri alımı API'lerine bağlanmadan önce içerik hub'ı çözümlerinden yüklenecek veri bağlayıcısı dağıtımlarınıza yönelik işlemleri veya araçları güncelleştirmeyi planlayın. Bir çözümü yüklemek için REST API işleci, OOTB içerik yönetimi API'leriyle 2.023.2023'te sunulacaktır.

Microsoft Sentinel'deki depolar özelliğini kullanarak içerikle çalışıyorsam ne olur?

Depolar, Microsoft Sentinel'de özel veya etkin içeriği özel olarak dağıtır. OOTB içerik merkezileştirme değişiklikleri, depolar özelliği aracılığıyla dağıtılan içeriği etkilemez.

Bu, çalışma alanı yöneticisindeki dağıtım gruplarını etkiler mi?

Depolar gibi çalışma alanı yöneticisi de yalnızca özel veya etkin içerik dağıtır, dolayısıyla OOTB içerik merkezileştirme değişiklikleri çalışma alanı yöneticisi aracılığıyla dağıtılan içeriği de etkilemez.

Sonraki adımlar

OOTB içeriği ve içerik hub'ı için şu diğer kaynaklara göz atın: