發現並管理 Microsoft Sentinel 開箱即用的內容

適用於: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel內容中心是您集中式發現和管理內建 () 內容的中心。在那裡，你會找到依領域或產業分類的端到端產品包裝解決方案。你可以存取我們 GitHub 倉庫和功能刀鋒中大量的獨立貢獻。

根據狀態、內容類型、支援、提供者及類別，透過一致的篩選功能，發掘解決方案與獨立內容。
一次或單獨安裝內容到你的工作區。
在清單檢視中查看內容，並快速查看哪些解決方案有更新。同時更新所有解決方案，而獨立內容則會自動更新。
管理一個解決方案來安裝內容類型並取得最新變更。
根據最新範本設定獨立內容，建立新的活躍項目。

如果你是想打造自己解決方案的合作夥伴，請參閱 Microsoft Sentinel Solutions 建置指南，了解解決方案撰寫與發佈。

重要事項

自 2027 年 3 月 31 日起，Microsoft Sentinel 將不再支援 Azure 入口網站，僅能在 Microsoft Defender 入口網站中使用。所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶，將被重新導向至 Defender 入口網站，且僅在 Defender 入口網站使用 Microsoft Sentinel。

如果您仍在 Azure 入口網站使用 Microsoft Sentinel，建議您開始規劃轉換至 Defender 入口網站，以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。

必要條件

若要在內容中心安裝、更新及刪除獨立內容或解決方案，您需要在資源群組層級擔任 Microsoft Sentinel 貢獻者角色。

欲了解更多支援 Microsoft Sentinel 的其他角色與權限資訊，請參閱 Microsoft Sentinel 中的權限。

探索內容

內容中心提供尋找新內容或管理已安裝解決方案的最佳方式。

在 Defender 入口網站中Microsoft Sentinel，請選擇Microsoft Sentinel>內容管理>內容中心。對於 Microsoft Sentinel，在 Azure 入口網站的 Content management 下，選擇 Content hub。

內容中心頁面會顯示可搜尋的網格或解決方案清單及獨立內容。
尋找你需要的解決方案或獨立內容。您可以從篩選器中選擇特定值，或在搜尋框中輸入搜尋詞。搜尋利用 AI 支援模糊搜尋並近似詞彙。

搜尋時，請務必按 ENTER 鍵開始搜尋。搜尋結果數量限制為 50 項，包含解決方案及其內的內容項目。如果找不到你想要的，可以試著精細搜尋表達式或使用不同的篩選條件。

欲了解更多資訊，請參閱 Microsoft Sentinel 開箱即用內容與解決方案分類。
在 ) ( 清單檢視中，選擇一個解決方案，以查看該解決方案的資訊以及包含的內容類型。

在搜尋中展開解決方案或篩選結果，以查看其所包含的內容項目清單。側邊的資訊面板會顯示內容項目的詳細資訊。
- Defender 入口
- Azure 入口網站
或者，選擇卡片檢視 ( ) 以查看以格子呈現的解答。每張卡片上都顯示解決方案名稱、描述及分類。選擇卡片以查看更多關於解決方案的資訊。

要使用屬於解決方案的一部分內容，你必須安裝整個解決方案。如果你在清單檢視中選擇了特定內容項目，請在側邊的細節窗格選擇安裝解決方案以安裝相關解決方案。

欲了解更多資訊，請參閱 Microsoft Sentinel 開箱即用內容與解決方案分類。

安裝或更新內容

可以單獨安裝內容和解決方案，也可以一次性大量安裝。欲了解更多關於大量作業的資訊，請參閱下一節的「大量安裝與更新內容」。

如果你部署的解決方案自上次部署以來有更新，清單檢視會在狀態欄顯示 「更新 」。解決方案也包含在頁面頂端的匯報次數中。

這裡有一個展示個人解決方案安裝的範例。

在 內容中心搜尋並選擇解決方案。
在解決方案細節窗格中，從右下角選擇 「查看詳情」。
選擇建立或更新。
在基礎標籤中，輸入訂閱、資源群組和工作區以部署解決方案。例如：
選擇 「下一頁 」即可瀏覽剩餘分頁，了解並在某些情況下設定每個內容組成部分。

分頁對應於解決方案中提供的內容。不同的解法可能包含不同類型的內容，所以你可能不會在每個解法中看到相同的分頁。

你也可能被要求輸入非 Microsoft 服務的憑證，讓 Microsoft Sentinel 能向你的系統進行認證。例如，使用戰術手冊時，你可能想依照系統規定採取反應行動。
在「Review + 建立」標籤中，等待訊息。Validation Passed
選擇建立或更新以部署解決方案。你也可以選擇「 下載自動化範本 」連結，將解決方案部署為程式碼。

依賴性安裝

部分解決方案需安裝相依性，包括許多領域解決方案及使用統一 AMA 連接器以管理 CEF、Syslog 或自訂日誌的解決方案。

此時，選擇 「與相依關係安裝 」以確保所需資料連接器也已安裝。接著，選擇一個或多個相依套件，連同原始解決方案一起安裝。你原本選擇安裝的解決方案預設是被選擇的。

如果一個或多個相依解決方案已經安裝，但已有更新，請使用 安裝/更新 按鈕，批量安裝並更新所有選定的解決方案。例如：

安裝解決方案後，解決方案內的每種內容類型可能需要更多步驟來設定。欲了解更多資訊，請參閱「在解決方案中啟用內容項目」。

大量安裝與更新內容

Content Hub 除了預設卡片檢視外，還支援清單檢視。選擇清單檢視，可以同時安裝多個解決方案和獨立內容。獨立內容會自動保持最新。任何基於解決方案或從 Content Hub 安裝的獨立內容所創建的活躍或自訂內容，都保持不變。

若要批量安裝或更新項目，請切換到清單檢視。
搜尋或篩選，找到你想大量安裝或更新的內容。
為每個你想安裝或更新的解決方案或獨立內容勾選一個選項。
選擇 安裝/更新 按鈕。

如果你選擇的解決方案或獨立內容已經安裝或更新，該項目不會被採取任何行動。它不會干擾其他項目的更新和安裝。
為你安裝的每個解決方案選擇管理。解決方案中的內容類型可能需要更多資訊來設定。欲了解更多資訊，請參閱「在解決方案中啟用內容項目」。

使用 API 安裝套件與範本

如果您使用 API 來安裝解決方案套件或個別範本，請遵循以下步驟：

取得解決方案套件或範本：
- 要取得套件，請使用 Get Product Package API。
- 要取得單一範本，請使用 Get Product Template API。
在 API 回應中，找到欄位。properties.mainTemplate 此欄位包含定義解決方案或範本資源的 ARM 範本 JSON。
使用ARM範本部署擷取資料mainTemplate，無論是透過Rest API、Azure CLI或PowerShell。

在解決方案中啟用內容項目

從內容中心集中管理已安裝解決方案的內容項目。

在內容中心選擇已安裝且版本為 2.0.0 或以上的解決方案。
在解決方案詳情頁面，選擇管理。
檢視內容清單。
選擇一個內容項目開始。

管理每種內容類型

以下章節將提供一些如何在管理解決方案時運用不同內容類型的建議。

資料連接器

要連接資料連接器，請完成設定步驟。

選取 [開啟連接器頁面]。
完成資料連接器的設定步驟。

當你設定資料連接器並偵測到日誌後，狀態會變成 「已連接」。

分析規則

從範本建立規則或編輯現有規則。

請在分析範本圖庫中查看範本。
如果範本尚未使用，請選擇 「開啟>建立規則 」並依步驟啟用分析規則。

建立規則後，從模板建立的有效規則數量會顯示在 已建立內容 欄位。
選擇有效規則連結以編輯現有規則。例如，下圖中的活躍規則連結位於 已建立內容 中，顯示 兩個項目。