分享方式:

Microsoft Sentinel 現用內容集中處理變更

  • 文章

Microsoft Sentinel 內容中樞可讓您在單一步驟中探索並隨選安裝現成的 (OOTB) 內容和解決方案。 先前,這部分 OOTB 內容只存在於 Microsoft Sentinel 的各種資源庫區段中。 現在, 下列所有 資源庫內容範本都可以在內容中樞作為獨立專案或封裝解決方案的一部分使用:

  • 資料連接器
  • 分析規則範本
  • 搜捕查詢
  • 劇本範本
  • 活頁簿範本

內容中樞變更

為了集中所有 OOTB 內容,我們已淘汰僅限資源庫的內容範本。 舊版資源庫內容範本不再持續更新,而內容中樞則是 OOTB 內容保持在最新狀態的位置。 內容中樞也針對獨立內容提供解決方案和自動更新的更新工作流程。

為了方便轉換,我們已發佈中央工具,以從對應的內容中樞解決方案恢復 IN USE 已淘汰的範本。

使用中央工具恢復使用已淘汰的範本

現在內容中樞集中化變更已完成,以下是如何完成中央工具恢復程式的概觀。

  1. 選取警告橫幅中的連結,以恢復 使用 中已淘汰、僅限資源庫的內容範本。

    此螢幕擷取畫面顯示活頁簿資源庫中所找到 警告橫幅的 範例。 Screenshot showing orange warning banner with link to initiate central tool.

  2. 選取連結並仔細閱讀頁面。

  3. 選取 [ 繼續 ],然後檢閱工具所產生的內容清單。

    Screenshot shows central tool page including details on how to use it.

  4. 選取 [完成集中化] 以開始安裝。 選取範圍是固定的,而且無法變更。

    Screenshot shows the list of content the tool generates.

資料連線器頁面變更

所有資料連線器現在都是解決方案的一部分。 先前,為了升級儀表板視覺效果(現在稱為活頁簿),並提供範例 KQL 查詢,我們在資料連線器頁面的 [後續步驟 ] 索引標籤中包含 其中一些專案。 我們已取代 資料連線器頁面的 [後續步驟 ] 部分,有利於新的 解決方案內容行為,其中所有解決方案 元件都會與資料連線器一起管理。

發生更新行為的關鍵是在內容中樞 啟動 。 如需先前行為與新體驗的比較,請檢查 Azure 活動 資料連線器。 從內容中樞安裝解決方案並選取 [管理] 之後,即可檢查整個解決方案。 如果您想要 Azure 活動資料連接器的視覺效果,請檢視活頁簿的範本。 如果您想要查看 KQL 查詢,請從資料表開始。 如需進階查詢,請查看分析規則和搜捕查詢。

如需新解決方案內容行為的詳細資訊,請參閱 探索和部署 OOTB 內容

如果您正在尋找的協力廠商資料連線器有特定的範例查詢,我們仍會在 [ 所有連接器 ] 索引中發佈它們。 例如,以下是 Jamf Protect 連接器 範例查詢。

Microsoft Sentinel GitHub 變更

Microsoft Sentinel 具有由 Microsoft 和社群審查之社群貢獻的官方 GitHub 存放庫 。 它是內容中樞中大部分內容專案的來源。

為了持續探索此內容,OOTB 內容集中化變更已延伸至 Microsoft Sentinel GitHub 存放庫:

  • 從內容中樞解決方案封裝的所有 OOTB 內容現在都會儲存在 GitHub 存放庫的 [解決方案] 資料夾中
  • 所有獨立 OOTB 內容專案都會保留在各自的位置。

這些內容中樞和 Microsoft Sentinel GitHub 存放庫的變更將會完成集中處理 Microsoft Sentinel 內容的旅程。

何時會進行這項變更?

集中化變更已發行! Microsoft Sentinel GitHub 變更已經發生。 獨立內容可在現有的 GitHub 資料夾中取得,且解決方案內容已移至 [解決方案] 資料夾。

[後續步驟] 索引標籤的 變更已經完成。

變更範圍

這項變更的範圍僅限於 範本的資源庫內容類型 。 所有這些相同的範本和更多 OOTB 內容都可以在內容中樞作為解決方案或獨立內容使用。

針對 Microsoft Sentinel GitHub 存放庫,內容中樞解決方案中封裝的 OOTB 內容現在只會列在 GitHub 存放庫的 [解決方案] 資料夾 下。 其他現有的 GitHub 內容的範圍是下列資料夾,且只包含獨立內容專案。 此清單中未提及的其餘 GitHub 資料夾中的內容沒有任何變更。

什麼沒有改變?

這項變更不會影響使用中或自訂專案(從範本建立或其他專案)。 具體來說,這項變更不會影響下列專案:

  • 狀態 = 連線的資料 連接器。
  • 分析資源庫中 [ 作用中規則 ] 索引標籤上的警示規則或偵測(已啟用或停用)。
  • 在活頁簿資源庫中的 [ 我的活頁簿] 索引 標籤上儲存的活頁簿。
  • 在搜捕資源庫中複製的內容或 內容來源 = 自訂。
  • 在自動化資源庫的 [使用中劇本] 索引標籤上啟用或停用使用中的劇本

這項變更也不會影響從內容中樞安裝的任何 OOTB 內容範本(可識別為 內容來源 = 內容中樞)。

有哪些變更項目?

所有範本資源庫現在都會顯示產品內警告橫幅。 此橫幅包含將在 Microsoft Sentinel 入口網站內執行之工具的連結。 啟動工具會啟動引導式體驗,以從內容中樞恢復 IN USE 淘汰範本的內容範本

此工具每個工作區只需要執行一次,因此請務必與您的組織一起規劃。 成功執行工具之後,警告橫幅就會從該工作區的範本資源庫消失。

下表列出每個資源庫內容範本的特定影響。 現在預期 OOTB 內容集中化已即時進行這些變更。

內容類型 影響
資料連接器 識別為 內容來源 = 資源庫內容的 範本和 = [狀態未連線 ] 將不再出現在資料連線器資源庫中。
分析 識別為 來源名稱 = 資源庫內容的 範本將不再出現在分析資源庫中。
狩獵 具有 內容來源 = 庫內容的 範本將不再出現在搜捕資源庫中。
劇本 可識別為 來源名稱 = 資源庫內容的 範本將不再出現在自動化劇本資源庫中。
活頁簿 具有 內容來源 = 庫內容的 範本將不再出現在活頁簿資源庫中。

以下是集中化變更前後分析規則的範例,且工具已執行:

  • 作用中的分析規則完全不會變更。 其以即將淘汰的分析規則範本為基礎。

    Screenshot that shows an active analytics rule before centralization changes.

    此螢幕擷取畫面顯示即將淘汰的分析規則範本。

    Screenshot that shows the analytics rule template that will be retired.

  • 執行工具以恢復分析規則範本之後,來源會變更為從中恢復的解決方案。

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

需要動作

  • 視需要從內容中樞安裝新的 OOTB 內容,並視需要更新解決方案,以取得最新版本的範本。
  • 針對使用中的現有資源庫內容範本,從內容中樞安裝解決方案或獨立內容專案,以取得未來的更新。 功能資源庫中的資源庫內容可能已過期。
  • 如果您有直接從 Microsoft Sentinel GitHub 存放庫取得 OOTB 內容的應用程式或程式,請更新位置,以包含從 [解決方案 ] 資料夾取得 OOTB 內容,以及現有的內容資料夾。
  • 請與您的組織規劃誰將執行此工具,以及何時,現在警告橫幅和變更已上線。 此工具必須在工作區中執行一次,才能從內容中樞恢復所有 IN USE 已淘汰的範本。
  • 請檢閱下列常見問題,以深入瞭解可能適用于您環境的詳細資料。

內容集中化常見問題

這項變更會影響我的 SOC 警示產生或事件產生和管理嗎?

否。 對作用中警示規則或偵測、作用中的劇本、複製的搜捕查詢或儲存的活頁簿沒有任何影響。 OOTB 內容集中化變更不會影響您目前的事件產生和管理程式。

資源庫內容是否有任何例外狀況?

是。 下列類型的分析規則範本不受這項變更的豁免:

  • 異常規則範本
  • 融合規則範本
  • ML 行為分析 (機器學習) 規則範本
  • Microsoft 安全性 (事件建立) 規則範本
  • 威脅情報規則範本

這項變更會影響任何 API 嗎?

是。 目前,唯一存在內容範本管理的 Microsoft Sentinel REST API 呼叫是 Get 警示規則範本的 和 List 作業。 這些作業只會呈現資源庫內容範本,且不會更新。 如需這些作業的詳細資訊,請參閱目前的 警示規則範本 REST API 參考

內容中樞上的新 REST API 作業即將推出,以更廣泛地啟用 OOTB 內容管理案例。 此 API 更新將包含集中化變更中範圍相同內容類型的作業(資料連線器、劇本範本、活頁簿範本、分析規則範本、搜捕查詢)。 更新工作區上所安裝分析規則範本的機制也在藍圖中。

需要採取動作: 規劃更新您的應用程式和程式,以在內容中樞上使用新的 OOTB 內容管理 API 作業時,這些作業可供使用。 最初我們表示,這將是 2023 年第 2 季可用的,但尚未準備好。

中央工具如何識別我使用中的 OOTB 內容範本?

此工具會根據兩個準則建置解決方案清單:具有 Status = 連線ed IN USE 劇本範本的資料連線器。 工具建置建議的解決方案清單之後,就會顯示清單以供核准。 如果清單已核准,此工具會安裝所有這些解決方案。 由於 OOTB 內容會根據解決方案恢復,因此您可能會得到比實際使用的更多範本。

此中央工具是讓 IN USE OOTB 內容範本從內容中樞恢復的最佳努力 。 您可以直接從內容中樞安裝省略的 OOTB 內容。

如果我使用 API 連線 Microsoft Sentinel 工作區中的資料來源,該怎麼辦?

目前,如果 API 資料連線符合資料連線器資料類型,資料連線器資源庫中會顯示為 Status = 連線。 集中化變更上線之後,必須從個別的解決方案安裝特定資料連線器,才能取得相同的行為。

需要採取動作: 規劃更新資料連線器部署的程式或工具,以在與資料擷取 API 連線之前,從內容中樞解決方案安裝。 安裝解決方案的 REST API 操作員將于 2023 年第 2 季推出,其中包含 OOTB 內容管理 API。

如果我使用 Microsoft Sentinel 中的存放庫功能處理內容,該怎麼辦?

存放庫會特別在 Microsoft Sentinel 中部署自訂或作用中內容。 OOTB 內容集中化變更不會影響透過存放庫功能部署的內容。

這會影響工作區管理員中的部署群組嗎?

就像存放庫一樣,工作區管理員只會部署自訂或作用中內容,因此 OOTB 內容集中化變更不會影響透過工作區管理員部署的內容。

下一步

查看 OOTB 內容和內容中樞的其他資源: