Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Содержимое Microsoft Sentinel включает компоненты решения для управления сведениями и событиями безопасности (SIEM), которые помогают получать данные, отслеживать, оповещать и реагировать на угрозы безопасности. В этой статье описываются типы содержимого и решений в Microsoft Sentinel и их помощь в операциях безопасности.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Поддерживаемое содержимое
Содержимое доступно в центре содержимого Microsoft Sentinel и включает следующие типы:
| Тип контента | Описание |
|---|---|
| Правила аналитики | Создайте оповещения, которые указывают на соответствующие действия SOC через инциденты. |
| Соединители данных | Загрузка журналов из разных источников в Microsoft Sentinel. |
| Поиск запросов | Помогать командам SOC проактивно искать угрозы в Microsoft Sentinel. |
| Парсеры | Форматирование и преобразование журналов в форматы расширенной информационной модели безопасности (ASIM) для использования в разных типах контента и сценариях. |
| Плейбуки и пользовательские соединители Azure Logic Apps | Автоматизируйте сценарии расследования, исправления и реагирования в Microsoft Sentinel. |
| Списки наблюдения | Прием специфичных данных для улучшенного обнаружения угроз и уменьшения утомления от излишних оповещений. |
| книги | Мониторинг, визуализация и взаимодействие с данными в Microsoft Sentinel для просмотра значимых аналитических сведений. |
| Сводные шаблоны правил | Разверните тестированные предварительно созданные правила, которые оптимизируют затраты и повышают производительность запросов, агрегируя аналитические сведения из входящих подробных журналов. |
Центр контента предоставляет эти типы контента в качестве решений и автономных элементов. Решения — это пакеты интеграции с содержимым Microsoft Sentinel или API Microsoft Sentinel, поддерживающие комплексный продукт, домен или отраслевый вертикальный сценарий в Microsoft Sentinel.
Настройте готовое содержимое (OOTB) для своих нужд или создайте собственное решение для совместного использования в сообществе. Дополнительные сведения см. в руководстве по сборке решений Microsoft Sentinel для разработки и публикации решений.
Обнаружение содержимого в Microsoft Sentinel и управление ими
Используйте Центр содержимого Microsoft Sentinel для централизованного поиска и установки содержимого из коробки (OOTB).
Центр содержимого Microsoft Sentinel позволяет находить содержимое в продукте, развертывать его одним действием и включать сквозные продуктовые, доменные или вертикальные OOTB решения и содержимое в Microsoft Sentinel.
Фильтруйте по категориям и другим параметрам или используйте текстовый поиск, чтобы найти содержимое, лучшее для вашей организации.
В центре содержимого также показана модель поддержки для каждого содержимого. Некоторые материалы поддерживаются корпорацией Майкрософт, а другие — партнерами или сообществом.
Управление обновлениями готового контента в Content hub. Для управления обновлениями пользовательского содержимого используйте страницу репозиториев. Дополнительные сведения см. в разделе «Обнаружение и управление готовым содержимым Microsoft Sentinel».
Настройте стандартное содержимое для ваших потребностей или создайте пользовательское содержимое, включая правила аналитики, запросы охоты, книги и многое другое.
Управляйте пользовательским содержимым прямо в рабочем пространстве Microsoft Sentinel с помощью API Microsoft Sentinel или из репозитория системы контроля версий. Дополнительные сведения см. в API Microsoft Sentinel и развертывании пользовательского содержимого из вашего репозитория.
Зачем использовать решения Microsoft Sentinel?
Решения Microsoft Sentinel — это комплексные интеграции, которые предоставляют полное решение продукта для одного или нескольких областей или вертикальных сценариев в Центре контента.
Интерфейс решений, на базе Azure Marketplace, помогает находить и развертывать нужное содержимое. Дополнительные сведения о создании и публикации решений в Azure Marketplace см. в руководстве по созданию решений Microsoft Sentinel.
Упакованое содержимое — это коллекция одного или нескольких компонентов содержимого Microsoft Sentinel.
Интеграция включает службы или инструменты, созданные с помощью API Microsoft Sentinel или Azure Log Analytics, которые поддерживают интеграцию между Azure и существующими клиентскими приложениями, а также перемещение данных, запросов и многое другое из этих приложений в Microsoft Sentinel.
Используйте решения для установки пакетов готового содержимого в один шаг. Содержимое часто готово к использованию немедленно. Поставщики и партнеры используют решения Sentinel для повышения стоимости инвестиций своих клиентов, предоставляя дополнительную ценность продукта, области или специфичных отраслевых решений.
Используйте центр контента для централизованного поиска и развертывания решений и содержимого OOTB на основе вашего сценария.
Дополнительные сведения см. в разделе:
- Централизованное обнаружение и развертывание готового содержимого и решений Microsoft Sentinel
- Каталог решений Microsoft Sentinel в Azure Marketplace
- Каталог Microsoft Sentinel
Категории готового содержимого и готовых решений Microsoft Sentinel
Содержимое Microsoft Sentinel вне коробки помещается в одну или несколько этих категорий. В центре контента выберите категории, которые нужно просмотреть, чтобы изменить отображаемое содержимое. Элементы, предоставляемые сообществом, находятся в центре контента как автономное содержимое или решения.
Категории доменов
| Название категории | Описание |
|---|---|
| Приложение | Веб-, серверная, SaaS, база данных, коммуникационная или производственная служба |
| Поставщик облачных служб | Облачная служба |
| Облачная безопасность | Облачная служба безопасности |
| Соблюдение закона | Продукт, услуги и протоколы соответствия |
| DevOps | Средства и службы для разработки |
| Идентичность | Поставщики службы идентификации и интеграции |
| Интернет вещей (IoT) | Устройства Интернета вещей, операционные технологии (OT) и инфраструктура, промышленные службы управления |
| ИТ-операции | Продукты и службы, управляющие ИТ |
| Миграция | Продукты и услуги для поддержки миграции |
| Сеть | Сетевые продукты, службы и средства |
| Платформа | Общие компоненты или компоненты платформы Microsoft Sentinel, облачная инфраструктура и платформа |
| Безопасность | Общие продукты безопасности |
| Безопасность — 0-дневная уязвимость | Специализированные решения для атак уязвимостей нулевого дня |
| Безопасность — автоматизация (SOAR) | Автоматизация безопасности, SOAR (операции безопасности и автоматические ответы), операции безопасности, а также продукты и службы реагирования на инциденты. |
| Безопасность — Cloud Security | CASB (Cloud Access Service Broker), CWPP (платформы защиты облачных рабочих нагрузок), CSPM (управление безопасностью облака) и другие продукты и службы облачной безопасности |
| Безопасность — Information Protection | Продукты и услуги для защиты информации и документов. |
| Безопасность — внутренняя угроза | Внутренние угрозы и аналитика поведения пользователей и организаций (UEBA) для продуктов и служб безопасности. |
| Безопасность — сеть | Безопасность сетевых устройств, брандмауэр, NDR (сетевое обнаружение и реагирование), NIDP (сетевое обнаружение и предотвращение вторжений) и захват сетевых пакетов. |
| Безопасность: другие аспекты | Другие продукты и службы для обеспечения безопасности без четкой категории. |
| Безопасность: аналитика угроз | Платформы, каналы, продукты и службы для анализа угроз. |
| Безопасность: защита от угроз | Защита от угроз, защита электронной почты, расширенное обнаружение и ответ (XDR) и продукты и службы защиты конечных точек |
| Безопасность — управление уязвимостями | Продукты и службы для управления уязвимостями. |
| Память | Хранилища файлов, а также продукты и службы для обмена файлами. |
| Обучение и руководства | Обучение, руководства и ресурсы для подключения. |
| Поведение пользователя (UEBA) | Продукты и службы для анализа поведения пользователей. |
Отраслевые вертикальные категории
| Название категории | Описание |
|---|---|
| Воздухоплавание | Продукты, службы и содержимое, относящиеся к авиационной отрасли |
| Образование | Продукты, службы и содержимое, относящиеся к сфере образования |
| Финансы | Продукты, службы и содержимое, относящиеся к финансовой отрасли |
| Здравоохранение | Продукты, службы и содержимое, относящиеся к отрасли здравоохранения |
| Производство | Продукты, службы и содержимое, относящиеся к промышленной отрасли |
| Розничная торговля | Продукты, службы и содержимое, относящиеся к отрасли розничной торговли |
| Программное обеспечение. | Продукты, услуги и содержимое, относящиеся к отрасли программного обеспечения |
Модели поддержки готового содержимого и готовых решений Microsoft Sentinel
Корпорация Майкрософт и другие организации создают готовое содержимое и решения для Microsoft Sentinel. Каждое готовое содержимое и решение имеет один из следующих типов поддержки:
| Модель поддержки | Описание |
|---|---|
| Поддержка Майкрософт | Применимо к: — Содержимое или решения, в которых корпорация Майкрософт является поставщиком данных, где это необходимо, и автор. — Некоторые созданные корпорацией Майкрософт материалы или решения для источников данных, отличных от Майкрософт. Корпорация Майкрософт поддерживает и поддерживает содержимое или решения в этой модели поддержки в соответствии с планами поддержки Microsoft Azure. Партнеры или сообщество поддерживают содержимое или решения, созданные любой стороной, отличной от Корпорации Майкрософт. |
| Поддерживаемые партнерами | Применяется к содержимому или решениям, созданным другими сторонами, кроме Корпорации Майкрософт. Партнерская компания предоставляет поддержку или обслуживание для этих частей содержимого или решений. Партнерская компания может быть независимым поставщиком программного обеспечения, поставщиком управляемых служб (MSP или MSSP), интегратором систем (SI) или любой организацией, контактные данные которой предоставляются на странице Microsoft Sentinel для выбранного содержимого или решений. По любым вопросам, связанным с решением, поддерживаемым партнером, обращайтесь к указанному контактному лицу службы поддержки. |
| Поддерживаемые сообществом | Применяется к содержимому или решениям, созданным корпорацией Майкрософт или разработчиками партнеров без указанных контактов для поддержки и обслуживания в Microsoft Sentinel. При возникновении вопросов или проблем, связанных с такими решениями, можно сообщить о проблеме в сообществе Microsoft Sentinel на GitHub. |
Источники содержимого и решений Microsoft Sentinel
Каждый компонент содержимого и каждое решение имеют один из следующих источников:
| Источник контента | Описание |
|---|---|
| Решение | Решения, развернутые центром контента , поддерживающим управление жизненным циклом. |
| Автономный | Автономное содержимое, развернутое Центром контента, которое автоматически обновляется. |
| Настраиваемое | Содержимое или решения, которые вы настраиваете в рабочей области. |
| Репозитории | Содержимое или решения из репозитория, подключенного к рабочей области. |
Следующие шаги
Обнаружьте и установите решения и автономный контент из узла контента в рабочем пространстве Microsoft Sentinel.
Для получения дополнительной информации см. раздел