探索及管理 Microsoft Sentinel 現用內容

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Microsoft Sentinel 內容中樞是您的集中式位置，可探索及管理現成可用的內容（內建） 內容。 您可以在該處依網域或產業找到端對端產品的封裝解決方案。 您可以存取我們 GitHub 存放庫和功能刀鋒視窗中所裝載的大量獨立貢獻。

• 根據狀態、內容類型、支援、提供者和類別，探索具有一組一致的篩選功能的解決方案和獨立內容。

• 在您的工作區中一次或個別安裝內容。

• 在清單檢視中檢視內容，並快速查看哪些解決方案有更新。 在獨立內容自動更新時，一次更新解決方案。

• 管理解決方案以安裝其內容類型並取得最新的變更。

• 設定獨立內容，以根據最新的範本建立新的使用中專案。

如果您是想要建立自己的解決方案的合作夥伴，請參閱 Microsoft Sentinel 解決方案建置指南 以撰寫和發佈解決方案。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

若要在內容中樞安裝、更新和刪除獨立內容或解決方案，您需要 資源群組層級的 Microsoft Sentinel 參與者 角色。

如需 Microsoft Sentinel 所支援之其他角色和許可權的詳細資訊，請參閱 Microsoft Sentinel 中的許可權。

探索內容

內容中樞提供尋找新內容或管理已安裝解決方案的最佳方式。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [內容管理] 底下，選取 [內容中樞]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>內容管理>內容中樞]。

   [內容中 樞 ] 頁面會顯示可搜尋的方格或方案和獨立內容清單。

2. 從篩選中選取特定值，或在 [搜尋] 欄位中輸入內容名稱或描述的任何部分，以篩選顯示的清單。

   如需詳細資訊，請參閱 Microsoft Sentinel 現用內容和解決方案的類別。

3. 選取 [ 卡片] 檢視 以檢視解決方案的詳細資訊。

   每個內容項目都會顯示套用至它的類別，而解決方案會顯示包含的內容類型。 例如，在下圖中， Cisco Umbrella 解決方案會將其其中一個類別 列為安全性 - 雲端安全性，並指出其中包含數據連接器、分析規則、搜捕查詢、劇本等等。

   Azure 入口網站

   

   Defender 入口網站

   

安裝或更新內容

個別或全部一起安裝獨立內容和解決方案。 如需大量作業的詳細資訊，請參閱 下一節中的大量安裝和更新內容 。

如果您部署的解決方案自上次部署后已有更新，清單檢視會在狀態數據行中顯示 [更新 ]。 解決方案也會包含在頁面頂端 更新 計數中。

以下範例顯示個別解決方案的安裝。

1. 在內容中 樞中，搜尋並選取解決方案。

2. 在 [解決方案詳細數據] 窗格中，從右下角選取 [ 檢視詳細數據]。

3. 選取 [建立] 或 [更新]。

4. 在 [ 基本] 索引 標籤上，輸入要部署解決方案的訂用帳戶、資源群組和工作區。 例如：

   

5. 選取 [下一步 ] 以瀏覽其餘索引標籤，以瞭解在某些情況下設定每個內容元件。

   索引標籤會對應至解決方案提供的內容。 不同的解決方案可能會有不同的內容類型，因此您可能看不到每個解決方案中的相同索引標籤。

   系統可能會提示您輸入第三方服務的認證，讓 Microsoft Sentinel 可以向系統進行驗證。 例如，使用劇本時，您可能會想要依照系統中的規定採取響應動作。

6. 在 [ 檢閱 + 建立] 索引標籤中 Validation Passed ，等候訊息。

7. 選取 [建立] 或 [更新] 以部署解決方案。 您也可以選取 [ 下載自動化 範本] 連結，以將解決方案部署為程式代碼。

解決方案中的每個內容類型可能需要更多步驟才能設定。 如需詳細資訊，請參閱 在方案中啟用內容專案。

大量安裝和更新內容

內容中樞除了預設卡片檢視之外，還支援清單檢視。 選取清單檢視，以一次安裝多個解決方案和獨立內容。 獨立內容會自動保持最新狀態。 根據從內容中樞安裝的解決方案或獨立內容所建立的任何作用中或自定義內容，都會維持不變。

1. 若要大量安裝或更新專案，請變更為清單檢視。

2. 搜尋或篩選以尋找您想要大量安裝或更新的內容。

3. 針對您要安裝或更新的每個解決方案或獨立內容，選取複選框。

4. 選取 [ 安裝/更新] 按鈕。

   如果您選取的解決方案或獨立內容已安裝或更新，就不會對該專案採取任何動作。 它不會干擾其他專案的更新和安裝。

5. 針對您安裝的每個解決方案，選取 [管理 ]。 解決方案內的內容類型可能需要更多資訊，才能進行設定。 如需詳細資訊，請參閱 在方案中啟用內容專案。

啟用方案中的內容專案

從內容中樞集中管理已安裝解決方案的內容專案。

1. 在內容中樞中，選取版本為 2.0.0 或更高版本的已安裝解決方案。

2. 在 [解決方案詳細數據] 頁面上，選取 [ 管理]。

   

3. 檢閱內容項目清單。

   

4. 選取要開始使用的內容專案。

管理每個內容類型

下列各節提供在管理解決方案時如何使用不同內容類型的一些秘訣。

數據連接器

若要連線數據連接器，請完成設定步驟。

1. 選取 [開啟連接器頁面]。

2. 完成數據連接器設定步驟。

   

   偵測到數據連接器和記錄之後，狀態會變更為 連線。

分析規則

從範本建立規則，或編輯現有的規則。

1. 在分析範本資源庫中檢視範本。

2. 如果尚未使用範本，請選取 [開啟>建立規則]，然後遵循步驟來啟用分析規則。

   建立規則之後，從範本建立的作用中規則數目會顯示在 [ 建立的內容 ] 數據行中。

3. 選取使用中規則連結以編輯現有的規則。 例如，下圖中的使用中規則連結位於 [建立內容] 底下，並顯示2個專案。

   

搜捕查詢

執行提供的搜捕查詢或加以自定義。

1. 若要立即開始搜尋，請從詳細數據頁面選取 [ 執行查詢 ] 以取得快速結果。

   

2. 若要自定義搜捕查詢，請選取 [內容名稱] 資料行中的連結。

   從搜捕資源庫，您可以移至省略號功能表，以建立只讀搜捕查詢範本的複製品。 以這種方式建立的搜捕查詢會顯示為內容中樞 [建立的內容] 數據 行中的專案。

活頁簿

若要自定義從範本建立的活頁簿，請建立活頁簿的實例。

1. 選取 [檢視範本 ] 以開啟活頁簿並查看視覺效果。

2. 選取 [ 儲存 ] 以建立活頁簿範本的實例。

3. 選取 [ 檢視已儲存的活頁簿]，以檢視已儲存的可自定義活頁簿。

4. 從內容中樞，選取 [建立的內容] 數據行中的 1 個項目連結來管理活頁簿。

   

剖析器

安裝解決方案時，包含的任何剖析器都會新增為Log Analytics中的工作區函式。

1. 選取 [載入函式程序代碼 ] 以開啟 Log Analytics 並檢視或執行函式程式碼。

2. 選取 [在編輯器 中使用] 開啟Log Analytics，並將剖析器名稱準備好新增至您的自定義查詢。

   

劇本

從範本建立劇本。

1. 選取劇本的內容名稱連結。

2. 選擇範本，然後選取 [ 建立劇本]。

3. 建立劇本之後，作用中的劇本會顯示在 [ 建立的內容 ] 數據行中。

4. 選取使用中的劇本 1 專案 連結來管理劇本。

   

尋找內容的支援模型

每個解決方案和獨立內容項目都會在其詳細數據窗格的 [支援] 方塊中說明其支援模型，其中列出 Microsoft 或合作夥伴的名稱。 例如：

連絡支持人員時，您可能需要解決方案的其他詳細數據，例如發行者、提供者和方案標識碼。 在 [使用方式資訊及支援] 索引標籤的 [詳細數據] 頁面上尋找此資訊。

下一步

在本檔中，您已瞭解如何尋找及部署 Microsoft Sentinel 的內建解決方案和獨立內容。

• 深入瞭解 Microsoft Sentinel 解決方案。
• 請參閱 Azure Marketplace 中完整的 Microsoft Sentinel 解決方案目錄。
• 在 Microsoft Sentinel 內容中 樞目錄中尋找網域特定解決方案。
• 刪除已安裝的 Microsoft Sentinel 現用內容和解決方案。

許多解決方案包括您需要設定的數據連接器，以便開始將數據內嵌至 Microsoft Sentinel。 每個數據連接器都有自己的一組需求，這些需求會在 Microsoft Sentinel 的數據連接器頁面上詳述。

如需詳細資訊，請參閱 連線 數據源。