你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全运营团队使用 Microsoft Sentinel 生成检测、调查和修正威胁。 通过将数据、检测、自动化、分析和打包的专长与 Microsoft Sentinel 集成,可以使安全团队在正确的时间获得正确的信息,以执行明智的安全响应。
本节涵盖了独立软件开发人员 (ISV) 为 Microsoft Sentinel 构建和优化高质量解决方案所需的一切。 从高层次上讲,从概念到完成的成功蓝图包含以下步骤。 在本文的其余部分中,您将找到有关如何进行您旅程中每一个步骤的详细说明。
了解 Microsoft Sentinel 集成
如要开始,请了解 Microsoft Sentinel 产品/服务,确定要为产品构建的内容,并查找资源以帮助了解有关构建 Microsoft Sentinel 解决方案的更多信息。
| 步骤 | 说明 |
|---|---|
| 了解 Microsoft Sentinel | Microsoft Sentinel 是一项可缩放的云原生安全信息和事件管理 (SIEM) 服务,可为 SIEM 以及安全业务流程、自动化和响应 (SOAR) 提供智能且全面的解决方案。 Microsoft Sentinel 提供网络威胁的检测、调查、响应和主动搜寻,为您提供从高空俯瞰整个企业的视角。 有关详细信息,请参阅: 什么是 Microsoft Sentinel? |
| 确定要构建的内容 | 实现良好集成的最重要步骤是决定在集成中包含哪些类型的内容,以匹配产品的功能。 探索以下资源,了解可以为 Microsoft Sentinel 贡献的内容类型。 有关详细信息,请参阅: 使用 Microsoft Sentinel 的技术集成场景 构建 Microsoft Sentinel 集成 - 第 1 部分:入门 |
| 查看文档 | 可以找到丰富的文档集来支持旅程。 这里有一些入门关键资源。 有关详细信息,请参阅: 构建 Microsoft Sentinel 解决方案指南 了解 GitHub 中 Microsoft Sentinel 解决方案存储库的指南 了解 ASIM(高级安全信息模型)架构的指南 了解 Kusto 查询语言的指南 |
| 成为云合作伙伴并创建发布者帐户 | Microsoft Sentinel 解决方案发布在 Azure 商业市场上。 要发布到市场,请加入云合作伙伴计划。 有关详细信息,请参阅: 了解 Microsoft 商业市场的指南 在 Microsoft 合作伙伴中心创建商业市场帐户的指南 加入 ISV 成功计划 注册 Microsoft for Startups 计划(如适用) |
生成解决方案
对 Microsoft Sentinel 和想要构建的内容有了很好的了解后,就可以开始构建解决方案了。 本节提供有关如何构建解决方案的指导。
| 步骤 | 说明 |
|---|---|
| 预配环境 | 为帮助开始构建和测试解决方案,建议注册 Azure 免费试用版和 Microsoft Sentinel 免费试用版。 有关详细信息,请参阅: 注册 Azure 免费试用版 然后注册 Microsoft Sentinel 免费试用版(向下滚动到“免费试用版”) |
| 完成训练课程 | 我们强烈推荐使用培训实验室,以便快速掌握 Microsoft Sentinel 的使用。 本实验室为产品的特性、功能和场景提供实操经验。 有关详细信息,请参阅: 完成 Microsoft Sentinel 训练实验室 |
| 构建连接器 | Microsoft Sentinel 是基于数据构建的。 大多数解决方案都是从将客户环境中的数据导入 Microsoft Sentinel 开始的。 要了解如何构建连接器,请参阅以下资源。 有关详细信息,请参阅: 构建 Microsoft Sentinel 数据体验指南 网络研讨会:创建数据连接器 Microsoft Sentinel 技术博客 |
| 构建内容 | 除了数据,解决方案还可以提供丰富的其他组件,帮助客户充分利用数据。 例如,可以提供检测、工作簿、剧本和搜寻查询,使产品/服务随时可供客户使用。 有关详细信息,请参阅: 你能做出什么贡献,如何做出贡献? |
| 打开 GitHub 拉取请求 | 解决方案准备好进行评审后,请在 Microsoft Sentinel 解决方案存储库中提出拉取请求 (PR)。 Microsoft Sentinel 工程员工会评审 PR 以获取最佳做法。 有关详细信息,请参阅: 创建 Microsoft Sentinel 拉取请求 |
测试解决方案
构建了解决方案后,需要对其进行测试,以确保其符合质量标准并已发布就绪。 Microsoft Sentinel 工程员工会评审解决方案并提供反馈。
| 步骤 | 说明 |
|---|---|
| 解决技术反馈 | 打开拉取请求后,Microsoft Sentinel 工程团队的成员会对其进行评审,以确保最佳实践。 如果在发布之前需要进行更多更改,可以在拉取请求所附的备注中找到所需更改。 |
| Microsoft 合并 PR 并生成包 | 在成功完成所有技术反馈后,Microsoft Sentinel 工程团队会将拉取请求合并到主分支中,并生成需要与提案一起提交的最终包。 |
发布到 Azure 商业市场
构建、测试和认证解决方案后,就可以将其发布到 Azure 商业市场。 本节提供有关如何发布解决方案的指导。
| 步骤 | 说明 |
|---|---|
| 创建报价 | 将解决方案合并到 Microsoft Sentinel 解决方案存储库后,就可以在商业市场上创建产品/服务了。 有关如何发布解决方案的更多信息,请参阅以下资源。 有关详细信息,请参阅: 将解决方案发布到 Microsoft Sentinel |
| 测试优惠预览 | 在预览创建阶段,我们会创建仅对你指定的预览受众可用的产品/服务版本。 创建预览优惠可确保特定受众在解决方案广泛共享给所有客户之前进行测试。 有关详细信息,请参阅: Microsoft Sentinel 解决方案在 Microsoft 合作伙伴中心发布后的状态 |
| “上线”以发布产品/服务 | 在产品/服务上线之前,请确保在预览阶段验证了解决方案的各个方面。 在产品/服务上线之前,请确保在预览阶段验证解决方案的各个方面。 有关详细信息,请参阅: 发布 Microsoft Sentinel 解决方案 |
| 修正认证问题 | 提交给商业市场的产品/服务必须经过认证才能发布。 如果产品/服务未通过任何检查,或者没有资格提交此类产品/服务,则会向电子邮件地址发送一份认证失败报告。 这些错误也会显示在合作伙伴中心的操作中心中。 有关更多信息,请参阅认证问题。 问题解决后,可以重新提交产品/服务进行认证。 产品/服务通过认证后,这会再次触发评审流程。 解决方案将在两个工作日内发布到商城,并可供 Microsoft Sentinel 内容中心的客户使用。 |
预览
在解决方案发布到 Azure 商业市场后,可以将其以预览模式提供给客户。 本节提供了如何以预览模式向客户提供解决方案的指导。
| 步骤 | 说明 |
|---|---|
| 通知客户 | 与客户沟通解决方案的可用性,以便他们可以测试解决方案并提供反馈。 |
| 解决支持问题 | 当客户使用解决方案的预览版本时,他们可能会遇到问题。 准备好在出现这些问题时加以解决。 除了问题之外,客户还可能要求新功能或增强。 根据反馈,需要在使解决方案正式发布之前对其进行迭代。 |
| 持续四周 | 建议让解决方案至少预览四周,以收集客户的反馈并解决出现的任何问题。 |
进入市场 (GTM)
在解决方案处于预览状态至少四周、且解决客户遇到的任何问题后,可以让解决方法面向所有客户正式发布。
| 步骤 | 说明 |
|---|---|
| 移除预览标志 | 预览期结束后,可以从产品/服务中移除预览标志,使其面向所有客户正式发布。 |
| 听取客户反馈 | 随着解决方案获得支持,继续监控反馈和支持请求。 |
| 增强解决方案 | 根据客户反馈,可能需要增强解决方案以满足客户需求。 客户反馈可能需要添加新功能、提高性能或解决客户遇到的任何问题。 |