關於 Microsoft Sentinel 內容和解決方案
Microsoft Sentinel 內容 是安全性資訊和事件管理 (SIEM) 解決方案元件,可讓客戶內嵌數據、監視、警示、搜捕、調查、回應,並與不同的產品、平臺和服務連線。
Microsoft Sentinel 中的內容包含以下任何類型:
- 資料連接器 提供從不同資料來源至 Microsoft Sentinel 的記錄擷取
- 剖析器 提供進 階安全性資訊模型 (ASIM) 格式的記錄格式/轉換,支援使用各種 Microsoft Sentinel 內容類型和案例
- 活頁簿 提供 Microsoft Sentinel 中的監視、視覺效果和與資料的互動功能,為使用者醒目提示有意義的深入解析。
- 分析 規則透過事件提供指向相關 SOC 動作的警示
- SOC 團隊使用 搜捕查詢 在 Microsoft Sentinel 主動搜捕威脅
- 筆記本 可協助 SOC 團隊在 Jupyter 和 Azure Notebooks 中使用進階搜捕功能
- 監看清單 支援擷取 特定 數據,以增強威脅偵測並減少警示疲勞
- 劇本和 Azure Logic Apps 自定義連接器 為 Microsoft Sentinel 中的自動化調查、補救和回應案例提供功能
Microsoft Sentinel 提供這些內容類型做為 解決方案 和 獨立 專案。 解決方案 是 Microsoft Sentinel 內容或 Microsoft Sentinel API 整合的套件,可滿足 Microsoft Sentinel 中的端對端產品、網域或產業垂直案例。 解決方案和獨立專案都是可從內容中樞探索和管理。
您可以針對自己的需求自定義現用的 (OOTB) 內容,也可以建立自己的解決方案與社群中的其他人共享內容。 如需詳細資訊,請參閱 適用於解決方案撰寫和發佈之 Microsoft Sentinel 解決方案建置指南 。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
探索及管理 Microsoft Sentinel 內容
使用 Microsoft Sentinel 內容中樞 集中探索並安裝現用的 (OOTB) 內容。
Microsoft Sentinel 內容中樞提供產品內探索性、單一步驟部署,以及啟用 Microsoft Sentinel 中的端對端產品、網域和/或垂直 OOTB 解決方案和內容。
依 類別 和其他參數進行篩選,或使用功能強大的文字搜尋來尋找最適合您組織需求的內容。
內容中 樞 也會指出 套用至每個內容片段的支援模型 ,因為 Microsoft 會維護某些內容,而其他內容則由合作夥伴或社群維護。
管理內容中樞內現用內容的更新。 或者,針對自定義內容,請從 [ 存放庫 ] 頁面管理更新。 如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容。
自訂現成內容以符合自己的需求,或建立自訂內容,包括分析規則、搜捕查詢、筆記本、活頁簿等等。
使用 Microsoft Sentinel API 或您自己的原始檔控制存放庫,直接在 Microsoft Sentinel 工作區中管理自定義內容。 如需詳細資訊,請參閱 Microsoft Sentinel API 和 從您的存放庫部署自定義內容。
為什麼是內容中樞解決方案?
Microsoft Sentinel 解決方案 是封裝的整合,可為內容中樞中的一或多個網域或垂直案例提供端對端產品值。
由 Azure Marketplace 提供的解決方案體驗可協助您探索及部署所需的內容。 如需在 Azure Marketplace 撰寫和發佈解決方案的詳細資訊,請參閱 Microsoft Sentinel 解決方案建置指南。
封裝的內容 是 Microsoft Sentinel 內容的一或多個元件集合,例如數據連接器、活頁簿、分析規則、劇本、搜捕查詢、監看清單、剖析器等等。
整合包含使用 Microsoft Sentinel 或 Azure Log Analytics API 建置的服務或工具,這些 API 支援 Azure 與現有客戶應用程式之間的整合,或可將資料、查詢等等從這些應用程式遷移至 Microsoft Sentinel。
您也可以使用解決方案,在單一步驟中安裝現成可用的 (OOTB) 內容套件,其中內容通常已準備好立即使用。 提供者和合作夥伴使用 Sentinel 解決方案,藉由提供結合的產品、網域或垂直價值,為客戶的投資增加價值。
使用內容中樞,以案例驅動的方式集中探索和部署解決方案和 OOTB 內容。
如需詳細資訊,請參閱
- 集中探索及部署 Microsoft Sentinel 現用的內容和解決方案
- Azure Marketplace 中的 Microsoft Sentinel 解決方案目錄
- Microsoft Sentinel 目錄
Microsoft Sentinel 現用內容和解決方案的類別
Microsoft Sentinel 現成的內容可以套用下列一或多個類別。 在 [內容中 樞] 中,選取您想要檢視的類別,以變更顯示的內容。 您可以集中探索內容中樞中的社群傳遞專案,做為獨立內容或解決方案。
網域類別
| 類別名稱 | Description |
|---|---|
| 應用程式 | Web、伺服器型、SaaS、資料庫、通訊或生產力工作負載 |
| 雲端提供者 | 雲端服務 |
| 合規性 | 合規性產品、服務和通訊協定 |
| DevOps | 開發作業工具和服務 |
| 身分識別 | 身分識別服務提供者和整合 |
| 物聯網 (IoT) | IoT、營運技術 (OT) 裝置和基礎結構、工業控制服務 |
| IT 作業 | 管理IT的產品和服務 |
| 移轉 | 移轉啟用產品、服務和 |
| 網路功能 | 網路產品、服務和工具 |
| 平台 | Microsoft Sentinel 泛型或架構元件、雲端基礎結構和平臺 |
| 安全性 - 其他 | 沒有其他明確類別的其他安全性產品和服務 |
| 安全性 - 威脅情報 | 威脅情報平臺、摘要、產品和服務 |
| 安全性 - 威脅防護 | 威脅防護、電子郵件保護、擴充偵測和回應 (XDR),以及端點保護產品和服務 |
| 安全性 - 0 天弱點 | 諾貝爾獎等 零日弱點攻擊的特製化解決方案 |
| 安全性 - 自動化 (SOAR) | 安全性自動化、SOAR(安全性作業和自動化回應)、安全性作業,以及事件回應產品和服務。 |
| 安全性 - 雲端安全性 | CASB (雲端存取服務代理人)、CWPP (雲端工作負載保護平臺)、CSPM(雲端安全性狀態管理和其他雲端安全性產品和服務 |
| 安全性 - 資訊保護 | 資訊保護和文件保護產品和服務 |
| 安全性 - 測試人員威脅 | 安全性產品和服務的測試人員威脅和使用者和實體行為分析 (UEBA) |
| 安全性 - 網路 | 安全性網路裝置、防火牆、NDR(網路偵測和回應)、NIDP(網路入侵和檢測預防),以及網路封包擷取 |
| 安全性 - 弱點管理 | 弱點管理產品和服務 |
| Storage | 檔案存放區和檔案共享產品和服務 |
| 訓練和教學課程 | 訓練、教學課程和上線資產 |
| 使用者行為 (UEBA) | 用戶行為分析產品和服務 |
產業垂直類別
| 類別名稱 | 描述 |
|---|---|
| 航空 | 航空產業特有的產品、服務和內容 |
| 教育程度 | 教育產業特有的產品、服務和內容 |
| Finance | 金融業特有的產品、服務和內容 |
| 醫療保健 | 醫療保健產業特有的產品、服務和內容 |
| 製造業 | 製造業特定的產品、服務和內容 |
| Retail | 零售行業特定的產品、服務和內容 |
支援 Microsoft Sentinel 現用內容和解決方案的模型
Microsoft 和其他組織都會撰寫現用的 Microsoft Sentinel 內容和解決方案。 每個現成可用的內容或解決方案都有下列其中一種支援類型:
| 支援模型 | 描述 |
|---|---|
| Microsoft 支援 | 適用於: - 內容/解決方案,其中 Microsoft 是數據提供者,其中相關,以及作者。 - 非 Microsoft 數據源的一些 Microsoft 撰寫的內容/解決方案。 Microsoft 會根據 Microsoft Azure 支援方案,支援和維護此支援模型中的內容/解決方案。 合作夥伴或社群支援由 Microsoft 以外的任何一方所撰寫的內容或解決方案。 |
| 合作夥伴支援 | 適用於 Microsoft 以外的合作物件所撰寫的內容/解決方案。 合作夥伴公司提供這些內容/解決方案的支援或維護。 合作夥伴公司可以是獨立軟體廠商、受控服務提供者(MSP/MSSP)、系統整合者(SI),或任何在 Microsoft Sentinel 頁面上提供所選內容/解決方案連絡資訊的組織。 如需合作夥伴支持解決方案的任何問題,請連絡指定的支持連絡人。 |
| 社群支援 | 適用於 Microsoft 或合作夥伴開發人員所撰寫的內容或解決方案,但未列出 Microsoft Sentinel 中支援和維護的連絡人。 如需這些解決方案的問題,請在 Microsoft Sentinel GitHub 社群中提出問題。 |
Microsoft Sentinel 內容和解決方案的內容來源
每個內容或解決方案都有下列其中一個內容來源:
| 內容來源 | 描述 |
|---|---|
| 內容中樞 | 支援生命週期管理的內容中樞所部署的解決方案 |
| 獨立 | 由內容中樞部署的獨立內容,且內容中樞會自動保持最新狀態 |
| 自訂 | 您在工作區中自定義的內容或解決方案 |
| 資源庫內容 | 不支援生命週期管理的功能資源庫內容。 此內容來源即將淘汰。 如需詳細資訊,請參閱 OOTB 內容集中化變更。 |
| 存儲庫 | 從連線至工作區的存放庫內容或解決方案 |
下一步
從 Microsoft Sentinel 工作區中的內容中 樞 探索並安裝解決方案和獨立內容。
如需詳細資訊,請參閱