Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Содержимое Microsoft Sentinel — это компоненты решения управления сведениями и событиями безопасности (SIEM), которые позволяют клиентам получать данные, отслеживать, оповещать, охотиться, исследовать, реагировать и подключаться к различным продуктам, платформам и службам.
Содержимое в Microsoft Sentinel включает любой из следующих типов:
- Соединители данных обеспечивают прием журналов из разных источников в Microsoft Sentinel.
- Средства синтаксического анализа обеспечивают форматирование и преобразование журнала в форматы расширенной информационной модели безопасности (ASIM), поддерживая использование различных типов и сценариев контента Microsoft Sentinel.
- Рабочие книги обеспечивают мониторинг, визуализацию и возможности интерактивного взаимодействия с данными в Microsoft Sentinel, выделяя важные сведения для пользователей.
- Правила аналитики предоставляют сигналы, которые указывают на соответствующие действия SOC посредством инцидентов
- Поисковые запросы используются отделами SOC для проактивного поиска угроз в Microsoft Sentinel.
- Записные книжки помогают командам SOC использовать расширенные функции поиска в Jupyter и Azure Notebooks.
- Списки наблюдения поддерживают прием определенных данных для более эффективного обнаружения угроз и снижения утомляемости оповещений.
- Плейбуки и пользовательские коннекторы Azure Logic Apps предоставляют функции для автоматического расследования, исправления и ответных мер в Microsoft Sentinel.
Microsoft Sentinel предлагает эти типы контента в качестве решений и автономных элементов. Решения — это пакеты интеграции содержимого Microsoft Sentinel или API Microsoft Sentinel, которые выполняют комплексный продукт, домен или отраслевый вертикальный сценарий в Microsoft Sentinel. Решения и автономные элементы доступны для обнаружения и управления ими из концентратора контента.
Вы можете настроить готовый контент (OOTB) для ваших потребностей или создать собственное решение и контент для совместного использования с другими в сообществе. Дополнительные сведения см. в руководстве по сборке решений Microsoft Sentinel для разработки и публикации решений.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. В предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Для получения дополнительной информации см. раздел Microsoft Sentinel на портале Microsoft Defender.
Обнаружение и администрирование содержимого Microsoft Sentinel
Используйте центр содержимого Microsoft Sentinel для централизованного обнаружения и установки содержимого из коробки (OOTB).
Центр содержимого Microsoft Sentinel предоставляет возможности обнаружения продуктов, одношагового развертывания и включения комплексных решений, доменов и или вертикальных решений OOTB в Microsoft Sentinel.
Фильтруйте по категориям и другим параметрам или используйте мощный текстовый поиск, чтобы найти содержимое, лучшее для потребностей вашей организации.
Центр содержимого также определяет модель поддержки, применяемую к каждому элементу содержимого, так как некоторые материалы поддерживаются корпорацией Майкрософт, а другие поддерживаются партнерами или сообществом.
Управление обновлениями готового контента в Content hub. Кроме того, для пользовательского содержимого можно управлять обновлениями на странице репозиториев . Дополнительные сведения см. в разделе «Обнаружение и управление готовым содержимым Microsoft Sentinel».
Настройте готовое содержимое для своих нужд или создайте собственное содержимое включая правила аналитики, поисковые запросы, записные книжки, книги и многое другое.
Управляйте пользовательским содержимым непосредственно в рабочей области Microsoft Sentinel с помощью API Microsoft Sentinel или из собственного репозитория системы контроля версий. Дополнительные сведения см. в API Microsoft Sentinel и развертывании пользовательского содержимого из вашего репозитория.
Почему решения концентратора содержимого?
Решения Microsoft Sentinel представляют собой упакованные интеграции, предоставляющие полную ценность продукта для одного или нескольких доменов или вертикальных сценариев в контентном центре.
Интерфейс решений, на базе Azure Marketplace, помогает обнаруживать и развертывать нужное содержимое. Дополнительные сведения о создании и публикации решений в Azure Marketplace см. в Руководстве по построению решений Microsoft Sentinel.
Упакованное содержимое — это коллекции одного или нескольких компонентов содержимого Microsoft Sentinel, таких как соединители данных, рабочие тетради, правила аналитики, плейбуки, поисковые запросы, списки наблюдения, парсеры и многое другое.
Интеграции включают службы или инструменты, созданные с помощью Microsoft Sentinel или API Azure Log Analytics, которые поддерживают интеграцию между Azure и существующими клиентскими приложениями или переносят данные, запросы и многое другое из этих приложений в Microsoft Sentinel.
Вы также можете использовать решения для установки пакетов готового содержимого в один шаг, где это содержимое часто готово к использованию сразу. Поставщики и партнеры используют решения Sentinel для повышения стоимости инвестиций своих клиентов, предоставляя дополнительную ценность продукта, области или специфичных отраслевых решений.
Используйте центр контента для централизованного обнаружения и развертывания решений и содержимого OOTB на основе сценария.
Дополнительные сведения см. в разделе:
- Централизованное обнаружение и развертывание готового содержимого и решений Microsoft Sentinel
- Каталог решений Microsoft Sentinel в Azure Marketplace
- Каталог Microsoft Sentinel
Категории готового содержимого и готовых решений Microsoft Sentinel
Готовое содержимое Microsoft Sentinel может быть применено к одной или нескольким из следующих категорий. В центре содержимого выберите категории, которые требуется просмотреть, чтобы изменить отображаемое содержимое. Вы можете обнаружить сообщественные элементы, централизованно представленные в Центре контента в виде автономного материала или решений.
Категории доменов
| Название категории | Описание |
|---|---|
| Приложение | Интернет, серверная часть, SaaS, база данных, обмен данными или производственная рабочая нагрузка |
| Поставщик облачных служб | Облачная служба |
| Соблюдение закона | Продукт, услуги и протоколы соответствия |
| DevOps | Средства и службы для разработки |
| Identity | Поставщики службы идентификации и интеграции |
| Интернет вещей (IoT) | Устройства Интернета вещей, операционные технологии (OT) и инфраструктура, промышленные службы управления |
| ИТ-операции | Продукты и службы, управляющие ИТ |
| Миграция | Продукты и услуги для обеспечения миграции |
| Сеть | Сетевые продукты, службы и средства |
| Платформа | Общие компоненты или компоненты платформы Microsoft Sentinel, облачная инфраструктура и платформа |
| Безопасность: другие аспекты | Другие продукты и службы для обеспечения безопасности без четкой категории. |
| Безопасность: аналитика угроз | Платформы, каналы, продукты и службы для анализа угроз. |
| Безопасность: защита от угроз | Защита от угроз, защита электронной почты, расширенное обнаружение и ответ (XDR) и продукты и службы защиты конечных точек |
| Безопасность — 0-дневная уязвимость | Специализированные решения против атак с уязвимостью нулевого дня, таких как Nobelium. |
| Безопасность — автоматизация (SOAR) | Автоматизация безопасности, SOAR (операции безопасности и автоматические ответы), операции безопасности, а также продукты и службы реагирования на инциденты. |
| Безопасность — Cloud Security | CASB (Cloud Access Service Broker), CWPP (платформы защиты облачных рабочих нагрузок), CSPM (управление состоянием облачной безопасности и другие продукты и службы для обеспечения облачной безопасности). |
| Безопасность — Information Protection | Продукты и услуги для защиты информации и документов. |
| Безопасность — внутренняя угроза | Внутренние угрозы и аналитика поведения пользователей и организаций (UEBA) для продуктов и служб безопасности. |
| Безопасность — сеть | Безопасность сетевых устройств, брандмауэр, NDR (сетевое обнаружение и реагирование), NIDP (сетевое обнаружение и предотвращение вторжений) и захват сетевых пакетов. |
| Безопасность — управление уязвимостями | Продукты и службы для управления уязвимостями. |
| Память | Хранилища файлов, а также продукты и службы для обмена файлами. |
| Обучение и руководства | Обучение, руководства и ресурсы для подключения. |
| Поведение пользователя (UEBA) | Продукты и службы для анализа поведения пользователей. |
Отраслевые вертикальные категории
| Название категории | Описание |
|---|---|
| Воздухоплавание | Продукты, службы и содержимое, относящиеся к авиационной отрасли |
| Образование | Продукты, службы и содержимое, относящиеся к сфере образования |
| Finance | Продукты, службы и содержимое, относящиеся к финансовой отрасли |
| Здравоохранение | Продукты, службы и содержимое, относящиеся к отрасли здравоохранения |
| Производство | Продукты, службы и содержимое, относящиеся к промышленной отрасли |
| Розничная торговля | Продукты, службы и содержимое, относящиеся к отрасли розничной торговли |
Модели поддержки готового содержимого и готовых решений Microsoft Sentinel
Как Microsoft, так и другие организации создают готовое содержимое и решения для Microsoft Sentinel. Каждое готовое содержимое и решение имеет один из следующих типов поддержки:
| Модель поддержки | Описание |
|---|---|
| Поддержка Майкрософт | Применимо к: — Содержимое и решения, где корпорация Майкрософт является поставщиком данных, где это уместно, и автором. — Некоторое содержимое и решения, созданные корпорацией Майкрософт, для источников данных, отличных от источников данных Майкрософт. Корпорация Майкрософт поддерживает и обслуживает содержимое и решения в рамках этой модели поддержки в соответствии с планами поддержки Microsoft Azure. Партнеры или сообщество поддерживают содержимое или решения, созданные любой стороной, отличной от корпорации Майкрософт. |
| Поддерживаемые партнерами | Применяется к содержимому и решениям, созданным сторонами, отличными от корпорации Майкрософт. Партнерская компания обеспечивает поддержку или техническое обслуживание этих блоков содержимого и решений. Партнерская компания может быть независимым поставщиком программного обеспечения, поставщиком управляемых услуг (MSP/MSSP), системным интегратором (SI) или любой организацией, чья контактная информация указана на странице Microsoft Sentinel для выбранных содержимого и решений. По любым вопросам, связанным с решением, поддерживаемым партнером, обращайтесь к указанному контактному лицу службы поддержки. |
| Поддерживаемые сообществом | Применяется к содержимому или решениям, созданным корпорацией Майкрософт или разработчиками партнеров без указанных контактов для поддержки и обслуживания в Microsoft Sentinel. При возникновении вопросов или проблем, связанных с такими решениями, можно сообщить о проблеме в сообществе Microsoft Sentinel на GitHub. |
Источники содержимого и решений Microsoft Sentinel
Каждый компонент содержимого и каждое решение имеют один из следующих источников:
| Источник контента | Описание |
|---|---|
| Центр содержимого | Решения, развернутые центром контента, поддерживающим управление жизненным циклом |
| Автономный | Автономное содержимое, развернутое центром контента, которое автоматически обновляется. |
| Настраиваемое | Содержимое или решения, которые вы настроили в своей рабочей области |
| Содержимое коллекции | Содержимое из коллекций компонентов, которые не поддерживают управление жизненным циклом. Этот источник контента скоро закрывается. Дополнительные сведения см. в статье об изменениях централизации содержимого OOTB. |
| Репозитории | Содержимое или решения из репозитория, подключенного к рабочей области |
Следующие шаги
Обнаружьте и установите решения и автономный контент из узла контента в рабочем пространстве Microsoft Sentinel.
Дополнительные сведения см. в разделе: