探索及管理 Microsoft Sentinel 現用內容

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Microsoft Sentinel 內容中樞是您探索及管理現成可用的內容 (內建) 內容的集中式位置。 您可以在該處依網域或產業找到端對端產品的封裝解決方案。 您可以存取我們 GitHub 存放庫和功能刀鋒視窗中所裝載的大量獨立貢獻。

• 根據狀態、內容類型、支援、提供者及類別，探索具有一組一致的篩選功能的解決方案和獨立內容。

• 在您的工作區中一次或個別安裝內容。

• 在清單檢視中檢視內容，並快速查看哪些解決方案有更新。 在獨立內容自動更新時，一次更新解決方案。

• 管理解決方案以安裝其內容類型，並取得最新的變更。

• 設定獨立內容，以根據最新的範本建立新的使用中項目。

如果您是想要建立您自己解決方案的合作夥伴，請參閱 Microsoft Sentinel 解決方案組建指南，以製作和發佈解決方案。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

若要在內容中樞安裝、更新及刪除獨立內容或解決方案，您需要資源群組層級 Microsoft Sentinel 參與者角色。

如需 Microsoft Sentinel 支援之其他角色和權限的詳細資訊，請參閱 Microsoft Sentinel 中的權限 (部分機器翻譯)。

探索內容

內容中樞提供尋找新內容或管理已安裝解決方案的最佳方式。

1. 針對 Azure 入口網站中的 Microsoft Sentinel，在 [內容管理]下，選取 [內容中樞]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]。

   [內容中樞] 頁面會顯示可搜尋的格線或方案和獨立內容清單。

2. 從篩選中選取特定值，或在 [搜尋] 欄位中輸入內容名稱或描述的任何部分，來篩選顯示的清單。

   如需詳細資訊，請參閱 Microsoft Sentinel 現成內容和解決方案類別。

3. 選取 [卡片檢視]，以檢視解決方案的詳細資訊。

   每個內容項目都會顯示套用至它的類別，而解決方案會顯示包含的內容類型。 例如，在下圖中，Cisco Umbrella 解決方案會將其其中一個類別列為安全性 - 雲端安全性，並指出其中包含資料連接器、分析規則、搜捕查詢、劇本等。

   Azure 入口網站

   

   Defender 入口網站

   

安裝或更新內容

個別或全部一起安裝獨立內容和解決方案。 如需大量作業的詳細資訊，請參閱下一節中的大量安裝和更新內容。

如果您部署的解決方案自上次部署後已有更新，清單檢視會在狀態資料行中顯示 [更新]。 解決方案也會包含在頁面頂端更新計數中。

以下範例顯示個別解決方案的安裝。

1. 在內容中樞中，搜尋並選取解決方案。

2. 在 [解決方案詳細資料] 窗格的右下角，選取 [檢視詳細資料]。

3. 選取 [建立] 或 [更新]。

4. 在 [基本] 索引標籤上，輸入要部署解決方案的訂用帳戶、資源群組和工作區。 例如：

   

5. 選取 [下一步]，以瀏覽其餘索引標籤以瞭解，在某些情況下設定每個內容元件。

   索引標籤會對應至解決方案提供的內容。 不同的解決方案可能會有不同的內容類型，因此您在每個解決方案中可能看不到完全相同的索引標籤。

   系統也可能會提示您輸入第三方服務的認證，讓 Microsoft Sentinel 可以向系統進行驗證。 例如，使用劇本時，您可能會想要依照系統規定採取回應動作。

6. 在 [檢閱 + 建立] 索引標籤的中，等候 Validation Passed 訊息。

7. 選取 [建立] 或 [更新]，以部署解決方案。 您也可以選取 [下載自動化範本] 連結，將解決方案部署為程式碼。

解決方案中的每個內容類型可能都需要更多步驟才能進行設定。 如需詳細資訊，請參閱在解決方案中啟用內容項目。

大量安裝和更新內容

除了預設卡片檢視之外，內容中樞還支援清單檢視。 選取清單檢視，以一次安裝多個解決方案和獨立內容。 獨立內容會自動保持最新狀態。 根據從內容中樞安裝的解決方案或獨立內容所建立的任何作用中或自訂內容，都會維持不變。

1. 若要大量安裝或更新項目，請變更為清單檢視。

2. 搜尋或篩選以尋找您想要大量安裝或更新的內容。

3. 針對您要安裝或更新的每個解決方案或獨立內容，選取核取方塊。

4. 選取 [安裝/更新] 按鈕。

   如果您選取的解決方案或獨立內容已安裝或更新，就不會對該項目採取任何動作。 它不會干擾其他項目的更新和安裝。

5. 針對您安裝的每個解決方案，選取 [管理]。 解決方案內的內容類型可能需要更多資訊，才能進行設定。 如需詳細資訊，請參閱在解決方案中啟用內容項目。

啟用解決方案中的內容項目

集中管理內容中樞已安裝解決方案的內容項目。

1. 在內容中樞中，選取 2.0.0 版或更新版本的已安裝解決方案。

2. 在 [解決方案詳細資料] 分頁上，選取 [管理]。

   

3. 檢閱內容項目清單。

   

4. 選取要開始使用的內容項目。

管理每個內容類型

下列各節提供在管理解決方案時如何使用不同內容類型的一些秘訣。

資料連接器

若要連線資料連接器，請完成設定步驟。

1. 選取 [開啟連接器頁面]。

2. 完成資料連線器設定步驟。

   

   設定資料連接器並偵測到記錄之後，狀態會變更為 [已連線]。

分析規則

從範本建立規則，或編輯現有的規則。

1. 檢視分析範本資源庫中的範本。

2. 如果未使用範本，請選取 [開啟]>[建立規則]，然後遵循步驟來啟用分析規則。

   建立規則之後，從範本建立的作用中規則數目會顯示在 [已建立的內容] 資料行中。

3. 選取使用中規則連結以編輯現有的規則。 例如，下圖中的使用中規則連結位於建立內容底下，並顯示 2 個項目。

   

搜補查詢

執行提供的搜捕查詢或加以自訂。

1. 若要立即開始搜尋，請從詳細資料頁面選取 [執行查詢] 以取得快速結果。

   

2. 若要自訂搜捕查詢，請選取 [內容名稱] 資料行中的連結。

   從搜捕資源庫，您可以移至省略號功能表，以建立唯讀搜捕查詢範本的複製品。 以這種方式建立的搜捕查詢會顯示為內容中樞 [已建立的內容] 資料行中的項目。

活頁簿

若要自訂從範本建立的活頁簿，請建立活頁簿的執行個體。

1. 選取 [檢視範本] 以開啟活頁簿並查看視覺效果。

2. 選取 [儲存]，以建立活頁簿範本的執行個體。

3. 選取 [檢視已儲存的活頁簿]，以檢視已儲存的可自訂活頁簿。

4. 從內容中樞，選取 [已建立的內容] 資料行中的 [1 個項目] 連結來管理活頁簿。

   

剖析器

安裝解決方案後，任何包含的剖析器都會新增為 Log Analytics 中的工作區函式。

1. 選取 [載入函式程式碼] 以開啟 Azure Log Analytics，並檢視或執行函式程式碼。

2. 選取 [在編輯器中使用]，以準備好新增至自訂查詢的剖析器名稱開啟 Log Analytics。

   

劇本

從範本建立劇本。

1. 選取劇本 [內容名稱] 連結。

2. 選擇範本，然後選取 [建立劇本]。

3. 建立劇本之後，作用中劇本會顯示在 [已建立的內容] 資料行中。

4. 選取作用中劇本 [1 個項目] 連結來管理劇本。

   

尋找內容的支援模型

每個解決方案都會在解決方案的詳細資料窗格中說明其支援模型，在 [支援] 方塊中列出 Microsoft 或合作夥伴的名稱。 例如：

連絡支援時，您可能需要解決方案的其他詳細資料，例如發行者、提供者和方案識別碼值。 在 [使用方式資訊與支援] 索引標籤的 [詳細資料] 頁面上尋找此資訊。

下一步

在本文件中，您已瞭解如何尋找及部署 Microsoft Sentinel 的內建解決方案和獨立內容。

• 深入了解 Microsoft Sentinel 解決方案。
• 請參閱 Azure Marketplace 中的 Microsoft Sentinel 解決方案目錄。
• 在 Microsoft Sentinel 內容中樞目錄中尋找網域特定解決方案。
• 已安裝的 Microsoft Sentinel 現成內容與解決方案。

許多解決方案都包含您需要設定的資料連接器，以便開始將資料擷取至 Microsoft Sentinel。 每個資料連接器都有自己的一組需求，詳述於 Microsoft Sentinel 的資料連接器分頁中。

如需詳細資訊，請參閱連線您的資料來源。