培训
认证
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft 365 Defender 调查、搜索和缓解威胁。
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Sentinel 内容中心,只需一步即可发现和按需安装现成 (OOTB) 内容与解决方案。 以前,某些 OOTB 内容仅存在于 Microsoft Sentinel 的各个库部分中。 现在,以下所有库内容模板已在内容中心作为独立项或打包解决方案的一部分提供:
为了集中所有 OOTB 内容,我们停用了仅限库的内容模板。 旧的库内容模板不再一致更新,而内容中心则是 OOTB 内容保持最新的地方。 内容中心还提供解决方案的更新工作流和独立内容的自动更新。
为了促进这一转换,我们发布了一个中心工具,以从相应的内容中心解决方案恢复正在使用的已停用模板。
内容中心集中化更改已完成,下面概述了如何完成中心工具的恢复过程。
选择警告横幅中的链接以恢复正在使用的已停用的仅限库内容模板。
选择该链接并仔细阅读页面。
选择“继续”并查看工具生成的内容列表。
选择“完成集中化”以开始安装。 此选择是固定的,无法更改。
所有数据连接器现在是解决方案的一部分。 此前,为了提高仪表板可视化效果(现在称为工作簿)和提供示例 KQL 查询,我们在“数据连接器”页的“后续步骤”选项卡上包含了其中一些项目。 我们已弃用“数据连接器”页的“后续步骤”部分,以支持新的解决方案内容行为,其中所有解决方案组件将与数据连接器一起管理。
体验更新后的行为的关键是在“内容中心”中开始。 有关此前行为与新体验的比较,请检查 Azure 活动数据连接器。 从内容中心安装解决方案并选择“管理”后,可对整个解决方案进行检查。 如果需要 Azure 活动数据连接器的可视化效果,请查看工作簿的模板。 如果想要查看 KQL 查询,请从数据表开始。 对于高级查询,请查看分析规则和搜寻查询。
有关新解决方案内容行为的详细信息,请参阅发现和部署 OOTB 内容。
如果存在正在查找的第三方数据连接器的特定示例查询,我们仍会将其发布在所有连接器索引中。 例如,以下是 Jamf 保护连接器的示例查询。
Microsoft Sentinel 有一个官方 GitHub 存储库,用于社区贡献,并由 Microsoft 和社区审查。 它是内容中心中大多数内容项的源。
为了一致地发现此内容,OOTB 内容集中化更改已扩展到 Microsoft Sentinel GitHub 存储库:
对内容中心和 Microsoft Sentinel GitHub 存储库的这些更改将完成集中化 Microsoft Sentinel 内容的旅程。
集中化更改已发布! Microsoft Sentinel GitHub 更改已经发生。 独立内容在现有 GitHub 文件夹中提供,并且解决方案内容已移动到“解决方案”文件夹。
对“后续步骤”选项卡的更改已经完成。
此更改的范围仅限于库内容类型模板。 所有这些相同的模板和更多 OOTB 内容将在内容中心中作为解决方案或独立内容提供。
对于 Microsoft Sentinel GitHub 存储库,在内容中心的解决方案中打包的 OOTB 内容现在仅列在 GitHub 存储库的解决方案文件夹下。 其他现有 GitHub 内容的范围限定为以下文件夹,并且仅包含独立内容项。 此列表中未提及的其余 GitHub 文件夹中的内容没有任何更改。
此更改不会影响(根据模板或其他内容创建的)活动项或自定义项。 具体而言,此更改不会影响以下项:
此更改还不会影响从内容中心(可通过内容源 = 内容中心确定)安装的任何 OOTB 内容模板。
所有模板库现在都显示产品内警告横幅。 此横幅包含指向将在 Microsoft Sentinel 门户中运行的工具的链接。 激活该工具会启动引导式体验,以从内容中心恢复正在使用的已停用模板的内容模板。
此工具只需在每个工作区中运行一次,因此请务必与组织一起进行规划。 该工具成功运行后,警告横幅将从该工作区的模板库中消失。
下表列出了对每个库的内容模板的具体影响。 OOTB 内容集中化现已生效,应该会出现这些更改。
内容类型 | 影响 |
---|---|
数据连接器 | 数据连接器库中将不再显示可识别为内容源 = 库内容和状态 = 未连接的模板。 |
分析 | 分析库中将不再显示可识别为源名称 = 库内容的模板将不再显示在分析库中。 |
搜寻 | 搜寻库中将不再显示内容源 = 库内容的模板。 |
演练手册 | 自动化 Playbook 库中将不再显示可识别为源名称 = 库内容的模板。 |
工作簿 | 工作簿库中将不再显示内容源 = 库内容的模板。 |
下面是集中化更改之前和之后的分析规则示例,并且该工具已运行:
不是。 对活动预警规则或检测、活动 Playbook、克隆的搜寻查询或保存的工作簿没有影响。 OOTB 内容集中化更改将不会影响当前的事件生成和管理过程。
是。 以下类型的分析规则模板不受此更改影响:
是。 目前,用于内容模板管理的唯一 Microsoft Sentinel REST API 调用是面向警报规则模板的 Get
和 List
操作。 这些操作仅呈现库内容模板,不会更新。 有关这些操作的详细信息,请参阅当前的预警规则模板 REST API 参考。
内容中心上新的 REST API 操作即将可用,以更广泛地启用 OOTB 内容管理方案。 此 API 更新将包含面向集中化更改(数据连接器、Playbook 模板、工作簿模板、分析规则模板、搜寻查询)范围内相同内容类型的操作。 路线图上还包括用于更新工作区上安装的分析规则模板的机制。
所需操作:计划更新应用程序和进程,以在内容中心上推出新的 OOTB 内容管理 API 操作时使用它们。 最初,我们表示将在 2023 年第 2 季度推出,但尚未准备就绪。
该工具基于以下两个条件生成解决方案列表:具有 状态 = 已连接和正在使用的 Playbook 模板的数据连接器。 在该工具生成建议的解决方案列表后,将显示列表以供审批。 如果列表获得批准,该工具将安装所有这些解决方案。 由于 OOTB 内容是基于解决方案恢复的,因此可能会获得比实际使用更多的模板。
此中心工具是从内容中心恢复正在使用 的 OOTB 内容模板的最佳工具。 可以直接从内容中心安装省略的 OOTB 内容。
目前,如果 API 数据连接与数据连接器数据类型匹配,它将在数据连接器库中显示为状态 = 已连接。 集中化更改生效后,需要从相应的解决方案安装特定的数据连接器,以获得相同的行为。
所需操作:计划更新数据连接器部署的过程或工具,以在连接数据引入 API 之前从内容中心解决方案进行安装。 用于安装解决方案的 REST API 控制器将于 2023 年第 2 季度推出,其中包含 OOTB 内容管理 API。
存储库专门在 Microsoft Sentinel 中部署自定义或活动内容。 OOTB 内容集中化更改不会影响通过存储库功能部署的内容。
与存储库一样,工作区管理器仅部署自定义或活动内容,因此 OOTB 内容集中化更改也不会影响通过工作区管理器部署的内容。
查看 OOTB 内容和内容中心的这些其他资源:
培训
认证
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft 365 Defender 调查、搜索和缓解威胁。