關於 Microsoft Sentinel 內容和解決方案
Microsoft Sentinel「內容」是安全性資訊與事件管理 (SIEM) 解決方案元件,可讓客戶對不同產品、平台和服務內嵌資料、監視、警示、搜捕、調查、回應及連線。
Microsoft Sentinel 中的內容包含以下任何類型:
- 資料連接器 提供從不同資料來源至 Microsoft Sentinel 的記錄擷取
- 剖析器提供將記錄格式化/轉換為進階安全性資訊模型 (ASIM) 格式的功能,支援各種 Microsoft Sentinel 內容類型和案例的使用方式
- 活頁簿 提供 Microsoft Sentinel 中的監視、視覺效果和與資料的互動功能,為使用者醒目提示有意義的深入解析。
- 分析 規則透過事件提供指向相關 SOC 動作的警示
- SOC 團隊使用 搜捕查詢 在 Microsoft Sentinel 主動搜捕威脅
- 筆記本 可協助 SOC 團隊在 Jupyter 和 Azure Notebooks 中使用進階搜捕功能
- 關注清單支援擷取特定資料,以增強威脅偵測並降低警示疲勞的情形
- 劇本和 Azure Logic Apps 自訂連接器可為 Microsoft Sentinel 中的自動化調查、補救和回應案例提供功能
Microsoft Sentinel 提供這些內容類型作為解決方案和獨立項目。 解決方案是 Microsoft Sentinel 內容或 Microsoft Sentinel API 整合的套件,可履行 Microsoft Sentinel 中的端對端產品、網域或產業垂直案例。 解決方案和獨立項目都是可從內容中樞探索和管理。
您可以針對自己的需求自訂現成 (OOTB) 內容,也可以建立自己的解決方案,並與社群中的其他人共用內容。 如需詳細資訊,請參閱 Microsoft Sentinel 解決方案建置指南 \(英文\) 以了解解決方案的製作與發佈。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
探索和管理 Microsoft Sentinel 內容
使用 Microsoft Sentinel 內容中樞來集中探索並安裝現成的 (OOTB) 內容。
Microsoft Sentinel 內容中樞會在 Microsoft Sentinel 中提供產品內的可探索性、單一步驟部署,以及啟用端對端產品、網域和/或垂直現成 (OOTB) 解決方案和內容。
依類別和其他參數進行篩選,或使用功能強大的文字搜尋,即可尋找最適合您組織需求的內容。
內容中樞也會指出套用至每個內容片段的支援模型,因為某些內容是由 Microsoft 維護,而其他內容則由合作夥伴或社群維護。
管理內容中樞內現用內容的更新。 或者,針對自訂內容,請從存放庫頁面管理更新。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容。
自訂現成內容以符合自己的需求,或建立自訂內容,包括分析規則、搜捕查詢、筆記本、活頁簿等等。
使用 Microsoft Sentinel API 或從您自己的原始檔控制存放庫,直接在 Microsoft Sentinel 工作區中管理自訂內容。 如需詳細資訊,請參閱 Microsoft Sentinel API 和從存放庫部署自訂內容。
為什麼要選擇內容中樞解決方案?
Microsoft Sentinel「解決方案」是封裝的整合,可在內容中樞為一或多個網域或垂直案例提供端對端產品價值。
由 Azure Marketplace 提供的解決方案體驗可協助您探索及部署所需的內容。 如需在 Azure Marketplace 中製作和發佈解決方案的詳細資訊,請參閱 Microsoft Sentinel 解決方案建置指南 \(英文\)。
封裝的內容是一或多個 Microsoft Sentinel 內容元件的集合,例如,資料連接器、活頁簿、分析規則、劇本、搜捕查詢、關注清單、剖析器等等。
整合包含使用 Microsoft Sentinel 或 Azure Log Analytics API 建置的服務或工具,這些 API 支援 Azure 與現有客戶應用程式之間的整合,或可將資料、查詢等等從這些應用程式遷移至 Microsoft Sentinel。
您也可以使用解決方案,以單一步驟中安裝現成可用的 (OOTB) 內容套件,其中的內容通常已可供立即使用。 提供者與合作夥伴可以透過提供合併的產品、網域或垂直價值,使用 Sentinel 解決方案來為客戶的投資增加價值。
您可以使用內容中樞,以案例驅動的方式集中探索和部署解決方案和 OOTB 內容。
如需詳細資訊,請參閱
- 集中探索和部署 Microsoft Sentinel 現成可用的內容與解決方案
- Azure Marketplace 中的 Microsoft Sentinel 解決方案目錄
- Microsoft Sentinel 目錄
Microsoft Sentinel 現成內容和解決方案的類別
Microsoft Sentinel 現成內容可以套用下列一個或多個類別。 在內容中樞內選取您想要檢視的類別,即可變更顯示的內容。 您可以集中探索內容中樞中的社群傳遞項目,做為獨立內容或解決方案。
網域類別
類別名稱 | Description |
---|---|
應用程式 | Web、伺服器型、SaaS、資料庫、通訊或生產力工作負載 |
雲端提供者 | 雲端服務 |
合規性 | 合規性產品、服務和通訊協定 |
DevOps | 開發作業工具和服務 |
身分識別 | 身分識別服務提供者和整合 |
物聯網 (IoT) | IoT、運營技術 (OT) 裝置和基礎結構、產業控制服務 |
IT 作業 | 管理 IT 的產品和服務 |
移轉 | 移轉啟用產品、服務和 |
網路功能 | 網路產品、服務和工具 |
平台 | Microsoft Sentinel 通用或架構元件、雲端基礎結構和平台 |
安全性 - 其他 | 沒有其他清楚類別的其他安全性產品和服務 |
安全性 - 威脅情報 | 威脅情報平台、摘要、產品和服務 |
安全性 - 威脅防護 | 威脅防護、電子郵件防護、延伸偵測及回應 (XDR),以及端點保護產品和服務 |
安全性 – 零時差 (0-day) 弱點 | 適用於零時差弱點攻擊 (例如 Nobelium) 的特殊解決方案 |
安全性 - 自動化 (SOAR) | 安全性自動化、SOAR (安全性作業和自動化回應)、安全性作業,以及事件回應產品和服務。 |
安全性 - 雲端安全性 | CASB (Cloud Access Service Broker)、CWPP (雲端工作負載保護平台、CSPM (雲端安全性態勢管理) 和其他雲端安全性產品和服務 |
安全性 - 資訊保護 | 資訊保護和文件保護產品和服務 |
安全性 - 內部威脅 | 安全性產品和服務的內部威脅和使用者與實體行為分析 (UEBA) |
安全性 - 網路 | 安全性網路裝置、防火牆、NDR (網路偵測和回應)、NIDP (網路入侵和偵測防護),以及網路封包擷取 |
安全性 - 弱點管理 | 弱點管理產品和服務 |
Storage | 檔案存放區與檔案共用產品和服務 |
訓練和教學課程 | 訓練、教學課程和上線資產 |
使用者行為 (UEBA) | 使用者行為分析產品和服務 |
產業垂直類別
類別名稱 | 描述 |
---|---|
航空 | 適用於航空產業的產品、服務和內容 |
教育程度 | 適用於教育產業的產品、服務和內容 |
Finance | 適用於金融產業的產品、服務和內容 |
醫療保健 | 適用於醫療保健產業的產品、服務和內容 |
製造業 | 適用於製造業的產品、服務和內容 |
Retail | 適用於零售業的產品、服務和內容 |
Microsoft Sentinel 現成內容和解決方案的支援模型
Microsoft 和其他組織都會撰寫現成的 Microsoft Sentinel 內容和解決方案。 每個現成的內容或解決方案都有下列其中一種支援類型:
支援模型 | 描述 |
---|---|
Microsoft 支援 | 適用於: - Microsoft 是資料提供者(或在必要時作為作者) 的內容/解決方案。 - 適用於非 Microsoft 資料來源且由 Microsoft 撰寫的一些內容/解決方案。 Microsoft 會根據 Microsoft Azure 支援方案,支援和維護此支援模型中的內容/解決方案。 合作夥伴或社群支援由 Microsoft 以外的任何合作方所撰寫的內容或解決方案。 |
合作夥伴支援 | 適用於 Microsoft 以外合作方所撰寫的內容/解決方案。 合作夥伴公司會提供這些內容/解決方案片段的支援或維護。 合作夥伴公司可以是獨立軟體廠商、受管理的服務提供者 (MSP/MSSP)、系統整合者 (SI),或任何在 Microsoft Sentinel 頁面上針對所選內容/解決方案提供連絡資訊的組織。 針對合作夥伴支援解決方案的任何問題,請連絡指定的支援連絡人。 |
社群支援 | 適用於 Microsoft 或合作夥伴開發人員所撰寫的內容或解決方案,但未列出 Microsoft Sentinel 中支援和維護的連絡人。 若有與這些解決方案相關的問題,請在 Microsoft Sentinel GitHub 社群中提出問題。 |
Microsoft Sentinel 內容和解決方案的內容來源
每個內容或解決方案都有下列其中一種內容來源:
內容來源 | 描述 |
---|---|
內容中樞 | 支援生命週期管理的內容中樞所部署的解決方案 |
獨立 | 由內容中樞部署的獨立內容,且內容中樞會自動保持最新狀態 |
自訂 | 您工作區中自訂的內容或解決方案 |
資源庫內容 | 不支援生命週期管理的功能資源庫內容。 此內容來源即將淘汰。 如需詳細資訊,請參閱 OOTB 內容集中化變更。 |
存放庫 | 連線到工作區的存放庫內容或解決方案 |
下一步
在您的 Microsoft Sentinel 工作區中,探索並安裝內容中樞的解決方案和獨立內容。
如需詳細資訊,請參閱
- 集中探索及部署現成的內容和解決方案
- Azure Marketplace 中的 Microsoft Sentinel 解決方案目錄
- Microsoft Sentinel 目錄
- Microsoft Sentinel 資料連接器
- 尋找您的 Microsoft Sentinel 資料連線器