你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 现成内容集中化更改

  • 项目

使用 Microsoft Sentinel 内容中心,只需一步即可发现和按需安装现成 (OOTB) 内容与解决方案。 以前,某些 OOTB 内容仅存在于 Microsoft Sentinel 的各个库部分中。 现在,以下所有库内容模板已在内容中心作为独立项或打包解决方案的一部分提供:

  • 数据连接器
  • Analytics 规则模板
  • 搜寻查询
  • paybook 模板
  • 工作簿模板

内容中心更改

为了集中所有 OOTB 内容,我们停用了仅限库的内容模板。 旧的库内容模板不再一致更新,而内容中心则是 OOTB 内容保持最新的地方。 内容中心还提供解决方案的更新工作流和独立内容的自动更新。

为了促进这一转换,我们发布了一个中心工具,以从相应的内容中心解决方案恢复正在使用的已停用模板。

使用中心工具恢复正在使用的已停用模板

内容中心集中化更改已完成,下面概述了如何完成中心工具的恢复过程。

  1. 选择警告横幅中的链接以恢复正在使用的已停用的仅限库内容模板。

    此屏幕截图显示了在“工作簿”库中找到的警告横幅的示例。 Screenshot showing orange warning banner with link to initiate central tool.

  2. 选择该链接并仔细阅读页面。

  3. 选择“继续”并查看工具生成的内容列表。

    Screenshot shows central tool page including details on how to use it.

  4. 选择“完成集中化”以开始安装。 此选择是固定的,无法更改。

    Screenshot shows the list of content the tool generates.

数据连接器页更改

所有数据连接器现在是解决方案的一部分。 此前,为了提高仪表板可视化效果(现在称为工作簿)和提供示例 KQL 查询,我们在“数据连接器”页的“后续步骤”选项卡上包含了其中一些项目。 我们已弃用“数据连接器”页的“后续步骤”部分,以支持新的解决方案内容行为,其中所有解决方案组件将与数据连接器一起管理。

体验更新后的行为的关键是在“内容中心”中开始。 有关此前行为与新体验的比较,请检查 Azure 活动数据连接器。 从内容中心安装解决方案并选择“管理”后,可对整个解决方案进行检查。 如果需要 Azure 活动数据连接器的可视化效果,请查看工作簿的模板。 如果想要查看 KQL 查询,请从数据表开始。 对于高级查询,请查看分析规则和搜寻查询。

有关新解决方案内容行为的详细信息,请参阅发现和部署 OOTB 内容

如果存在正在查找的第三方数据连接器的特定示例查询,我们仍会将其发布在所有连接器索引中。 例如,以下是 Jamf 保护连接器的示例查询。

Microsoft Sentinel GitHub 更改

Microsoft Sentinel 有一个官方 GitHub 存储库,用于社区贡献,并由 Microsoft 和社区审查。 它是内容中心中大多数内容项的源。

为了一致地发现此内容,OOTB 内容集中化更改已扩展到 Microsoft Sentinel GitHub 存储库:

  • 现在,从内容中心解决方案打包的所有 OOTB 内容存储在 GitHub 存储库的解决方案文件夹中。
  • 所有独立的 OOTB 内容项将继续保留在各自的位置。

对内容中心和 Microsoft Sentinel GitHub 存储库的这些更改将完成集中化 Microsoft Sentinel 内容的旅程。

此更改何时到来?

集中化更改已发布! Microsoft Sentinel GitHub 更改已经发生。 独立内容在现有 GitHub 文件夹中提供,并且解决方案内容已移动到“解决方案”文件夹。

对“后续步骤”选项卡的更改已经完成。

更改范围

此更改的范围仅限于库内容类型模板。 所有这些相同的模板和更多 OOTB 内容将在内容中心中作为解决方案或独立内容提供。

对于 Microsoft Sentinel GitHub 存储库,在内容中心的解决方案中打包的 OOTB 内容现在仅列在 GitHub 存储库的解决方案文件夹下。 其他现有 GitHub 内容的范围限定为以下文件夹,并且仅包含独立内容项。 此列表中未提及的其余 GitHub 文件夹中的内容没有任何更改。

哪些未更改?

此更改不会影响(根据模板或其他内容创建的)活动项或自定义项。 具体而言,此更改不会影响以下项:

  • 状态 = 已连接的数据连接器。
  • 分析库中“活动规则”选项卡中的警报规则或检测(已启用或已禁用)。
  • 工作簿库中“我的工作簿”选项卡中保存的工作簿。
  • 搜寻库中克隆的内容或内容源 = 自定义
  • 自动化库中“活动 playbook”选项卡中的活动 playbook(已启用或已禁用)。

此更改还不会影响从内容中心(可通过内容源 = 内容中心确定)安装的任何 OOTB 内容模板。

有什么变化?

所有模板库现在都显示产品内警告横幅。 此横幅包含指向将在 Microsoft Sentinel 门户中运行的工具的链接。 激活该工具会启动引导式体验,以从内容中心恢复正在使用的已停用模板的内容模板。

此工具只需在每个工作区中运行一次,因此请务必与组织一起进行规划。 该工具成功运行后,警告横幅将从该工作区的模板库中消失。

下表列出了对每个库的内容模板的具体影响。 OOTB 内容集中化现已生效,应该会出现这些更改。

内容类型 影响
数据连接器 数据连接器库中将不再显示可识别为内容源 = 库内容状态 = 未连接的模板。
分析 分析库中将不再显示可识别为源名称 = 库内容的模板将不再显示在分析库中。
搜寻 搜寻库中将不再显示内容源 = 库内容的模板。
演练手册 自动化 Playbook 库中将不再显示可识别为源名称 = 库内容的模板。
工作簿 工作簿库中将不再显示内容源 = 库内容的模板。

下面是集中化更改之前和之后的分析规则示例,并且该工具已运行:

  • 活动分析规则将完全不会更改。 它基于将要停用的分析规则模板。

    Screenshot that shows an active analytics rule before centralization changes.

    此屏幕截图显示了将停用的分析规则模板。

    Screenshot that shows the analytics rule template that will be retired.

  • 运行该工具恢复分析规则模板后,源将更改为作为其恢复来源的解决方案。

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

所需操作

  • 请从内容中心安装新的 OOTB 内容,并根据需要更新解决方案,以拥有最新版本的模板。
  • 对于正在使用的现有库内容模板,请通过从内容中心安装解决方案或独立内容项来获取将来的更新。 功能库中的库内容可能已过期。
  • 如果应用程序或进程直接从 Microsoft Sentinel GitHub 存储库获取 OOTB 内容,除现有文件夹以外,还请更新位置以包含从解决方案文件夹获取 OOTB 内容。
  • 警告横幅和更改现已生效,请与组织一起规划由谁以及何时运行该工具。 该工具需要在工作区中运行一次,才能从内容中心恢复所有正在使用的已停用模板。
  • 查看以下常见问题解答,以了解可能适用于你的环境的更多详细信息。

内容集中化常见问题解答

此更改是否影响 SOC 警报生成或事件生成和管理?

不是。 对活动预警规则或检测、活动 Playbook、克隆的搜寻查询或保存的工作簿没有影响。 OOTB 内容集中化更改将不会影响当前的事件生成和管理过程。

库内容是否存在例外?

是。 以下类型的分析规则模板不受此更改影响:

  • 异常规则模板
  • 融合规则模板
  • ML 行为分析(机器学习)规则模板
  • Microsoft 安全(事件创建)规则模板
  • 威胁情报规则模板

此更改是否将影响任何 API?

是。 目前,用于内容模板管理的唯一 Microsoft Sentinel REST API 调用是面向警报规则模板的 GetList 操作。 这些操作仅呈现库内容模板,不会更新。 有关这些操作的详细信息,请参阅当前的预警规则模板 REST API 参考

内容中心上新的 REST API 操作即将可用,以更广泛地启用 OOTB 内容管理方案。 此 API 更新将包含面向集中化更改(数据连接器、Playbook 模板、工作簿模板、分析规则模板、搜寻查询)范围内相同内容类型的操作。 路线图上还包括用于更新工作区上安装的分析规则模板的机制。

所需操作:计划更新应用程序和进程,以在内容中心上推出新的 OOTB 内容管理 API 操作时使用它们。 最初,我们表示将在 2023 年第 2 季度推出,但尚未准备就绪。

中心工具将如何识别我正在使用的 OOTB 内容模板?

该工具基于以下两个条件生成解决方案列表:具有 状态 = 已连接正在使用的 Playbook 模板的数据连接器。 在该工具生成建议的解决方案列表后,将显示列表以供审批。 如果列表获得批准,该工具将安装所有这些解决方案。 由于 OOTB 内容是基于解决方案恢复的,因此可能会获得比实际使用更多的模板。

此中心工具是从内容中心恢复正在使用 的 OOTB 内容模板的最佳工具。 可以直接从内容中心安装省略的 OOTB 内容。

如果使用 API 连接 Microsoft Sentinel 工作区中的数据源,该怎么办?

目前,如果 API 数据连接与数据连接器数据类型匹配,它将在数据连接器库中显示为状态 = 已连接。 集中化更改生效后,需要从相应的解决方案安装特定的数据连接器,以获得相同的行为。

所需操作:计划更新数据连接器部署的过程或工具,以在连接数据引入 API 之前从内容中心解决方案进行安装。 用于安装解决方案的 REST API 控制器将于 2023 年第 2 季度推出,其中包含 OOTB 内容管理 API。

如果使用 Microsoft Sentinel 中的存储库功能处理内容,该怎么办?

存储库专门在 Microsoft Sentinel 中部署自定义或活动内容。 OOTB 内容集中化更改不会影响通过存储库功能部署的内容。

这是否会影响工作区管理器中的部署组?

与存储库一样,工作区管理器仅部署自定义或活动内容,因此 OOTB 内容集中化更改也不会影响通过工作区管理器部署的内容。

后续步骤

查看 OOTB 内容和内容中心的这些其他资源: