Обнаружение содержимого Microsoft Sentinel и управление ими

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Центр содержимого Microsoft Sentinel — это централизованное расположение для обнаружения и управления встроенным содержимым. Там вы найдете упакованные решения для комплексных продуктов по доменам или отраслям. У вас есть доступ к огромному количеству автономных вкладов, размещенных в репозитории GitHub и колонках функций.

  • Обнаружение решений и автономного содержимого с согласованным набором возможностей фильтрации на основе состояния, типа контента, поддержки, поставщика и категории.

  • Установите содержимое в рабочей области сразу или по отдельности.

  • Просмотрите содержимое в представлении списка и быстро просмотрите, какие решения имеют обновления. Обновите решения одновременно, а автономное содержимое обновляется автоматически.

  • Управление решением для установки его типов контента и получения последних изменений.

  • Настройте автономное содержимое для создания новых активных элементов на основе наиболее актуального шаблона.

Если вы являетесь партнером, который хочет создать собственное решение, см. руководство по созданию и публикации решений Microsoft Sentinel.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Предварительные условия

Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, требуется роль участника Microsoft Sentinel на уровне группы ресурсов.

Дополнительные сведения о других ролях и разрешениях, поддерживаемых для Microsoft Sentinel, см. в разделе Разрешения в Microsoft Sentinel.

Обнаружение содержимого

Центр содержимого предлагает лучший способ поиска нового содержимого или управления уже установленными решениями.

  1. Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Центр содержимого управления> Клиентами. Для Microsoft Sentinel в портал Azure в разделе Управление содержимым выберите Центр содержимого.

    На странице "Центр содержимого " отображается сетка с возможностью поиска или список решений и автономное содержимое.

  2. Найдите необходимые решения или автономные элементы содержимого. Выберите определенные значения из фильтров или введите условие поиска в поле Поиск . Поиски используют ИИ для поддержки нечетких поисков и приблизительного словаря.

    При поиске обязательно нажмите клавишу ВВОД , чтобы начать поиск. Количество результатов поиска ограничено 50 элементами, включая как решения, так и элементы контента, найденные в решениях. Если вы не нашли то, что ищете, попробуйте уточнить выражение поиска или использовать другие фильтры.

    Дополнительные сведения см. в разделе Категории для Microsoft Sentinel готового содержимого и решений.

  3. В представлении списка ( ) выберите решение из списка, чтобы просмотреть сведения о решении, а также типы элементов содержимого, которые оно включает.

    Разверните решение в результатах поиска или фильтрации, чтобы просмотреть список элементов содержимого, которые оно включает. Панель сведений сбоку содержит подробные сведения об элементе содержимого.

    Кроме того, выберите представление карта ( ), чтобы просмотреть решения, представленные в сетке. На каждом карта отображается имя, описание и категории решения. Выберите карта, чтобы просмотреть дополнительные сведения о решении на стороне.

Чтобы использовать элемент содержимого, который является частью решения, необходимо установить все решение. Если вы выбрали определенный элемент содержимого в представлении списка, выберите Установить решение в области сведений на стороне, чтобы установить соответствующее решение.

Дополнительные сведения см. в разделе Категории для Microsoft Sentinel готового содержимого и решений.

Установка или обновление содержимого

Установите автономное содержимое и решения по отдельности или все вместе в пакетном режиме. Дополнительные сведения о массовых операциях см. в разделе Содержимое массовой установки и обновления в следующем разделе.

Если развернутое решение содержит обновления с момента его последнего развертывания, в представлении списка в столбце состояние отображается значение Обновление . Решение также включается в число Обновления в верхней части страницы.

Ниже приведен пример установки отдельного решения.

  1. В центре содержимого найдите и выберите решение.

  2. В области сведений о решениях в нижней правой части выберите Просмотреть сведения.

  3. Выберите Создать или Обновить.

  4. На вкладке Основные сведения введите подписку, группу ресурсов и рабочую область для развертывания решения. Например, вы можете:

    Снимок экрана: мастер установки решения с вкладкой

  5. Нажмите кнопку Далее , чтобы перейти к остальным вкладкам и в некоторых случаях настроить каждый из компонентов содержимого.

    Вкладки соответствуют содержимому, предлагаемому решением. Разные решения могут иметь разные типы содержимого, поэтому в каждом решении могут отображаться не одни и те же вкладки.

    Вам также может быть предложено ввести учетные данные в службу сторонних производителей, чтобы Microsoft Sentinel могли пройти проверку подлинности в ваших системах. Например, при использовании сборников схем может потребоваться выполнить действия по реагированию, как указано в системе.

  6. На вкладке Просмотр и создание подождите Validation Passed сообщение.

  7. Выберите Создать или Обновить , чтобы развернуть решение. Вы также можете выбрать ссылку Скачать шаблон для автоматизации, чтобы развернуть решение в виде кода.

Установка с зависимостями

Некоторые решения имеют зависимости для установки, в том числе многие доменные решения и решения, использующие унифицированные соединители AMA для CEF, Syslog или пользовательских журналов.

В таких случаях выберите Установить с зависимостями , чтобы убедиться, что также установлены необходимые соединители данных. Выберите одну или несколько зависимостей, чтобы установить их вместе с исходным решением. Исходное решение, которое вы выбрали для установки, всегда выбирается по умолчанию.

Если одно или несколько решений зависимостей уже установлены, но имеют обновления, используйте кнопку Установка и обновление для массовой установки и обновления всех выбранных решений. Например, вы можете:

Снимок экрана: массовая установка нескольких зависимостей решения.

После установки решения каждый тип контента в решении может потребовать дополнительных действий по настройке. Дополнительные сведения см . в разделе Включение элементов содержимого в решении.

Массовая установка и обновление содержимого

Центр содержимого поддерживает представление списка в дополнение к представлению карта по умолчанию. Выберите представление списка, чтобы одновременно установить несколько решений и автономного содержимого. Автономное содержимое автоматически обновляется. Любое активное или настраиваемое содержимое, созданное на основе решений или автономное содержимое, установленное из центра содержимого, остается нетронутым.

  1. Чтобы установить или обновить элементы в массовом режиме, перейдите в представление списка.

  2. Найдите или отфильтруйте содержимое, которое требуется установить или обновить в пакетном режиме.

  3. Установите флажки для каждого решения или автономного содержимого, которое требуется установить или обновить.

  4. Нажмите кнопку Установка и обновление . Снимок экрана: представление списка решений с несколькими выбранными решениями для установки.

    Если выбранное решение или автономное содержимое уже установлено или обновлено, никаких действий с этим элементом не выполняется. Это не мешает обновлению и установке других элементов.

  5. Выберите Управление для каждого установленного решения. Для настройки типов контента в решении могут потребоваться дополнительные сведения. Дополнительные сведения см . в разделе Включение элементов содержимого в решении.

Установка пакетов и шаблонов с помощью API

Если вы используете API для установки пакетов решений или отдельных шаблонов, выполните следующие действия.

  1. Получите пакет решения или шаблон:

  2. В ответе API найдите properties.mainTemplate поле . Это поле содержит JSON-файл шаблона ARM, который определяет решение или ресурсы шаблона.

  3. Разверните извлеченное mainTemplate с помощью развертывания шаблона ARM с помощью Rest API, Azure CLI или PowerShell.

Включение элементов содержимого в решении

Централизованное управление элементами содержимого для установленных решений из центра содержимого.

  1. В центре содержимого выберите установленное решение с версией 2.0.0 или более поздней.

  2. На странице сведений о решениях выберите Управление.

    Снимок экрана: кнопка управления на странице сведений в решении концентратора содержимого действия Azure.

  3. Просмотрите список элементов содержимого.

    Снимок экрана: описание решения и список элементов содержимого для решения действия Azure.

  4. Выберите элемент содержимого, чтобы приступить к работе.

Управление каждым типом контента

В следующих разделах содержатся советы по работе с различными типами контента при управлении решением.

Соединитель данных

Чтобы подключить соединитель данных, выполните действия по настройке.

  1. Выберите Открыть страницу соединителя.

  2. Выполните действия по настройке соединителя данных.

    Снимок экрана: элемент содержимого соединителя данных для решения действия Azure, где состояние отключено.

    После настройки соединителя данных и обнаружения журналов состояние изменится на Подключено.

Правило аналитики

Создайте правило на основе шаблона или измените существующее правило.

  1. Просмотрите шаблон в коллекции шаблонов аналитики.

  2. Если шаблон еще не используется, выберите Открыть>создать правило и выполните действия, чтобы включить правило аналитики.

    После создания правила количество активных правил, созданных из шаблона, отображается в столбце Созданное содержимое .

  3. Выберите ссылку активные правила, чтобы изменить существующее правило. Например, ссылка на активное правило на следующем рисунке находится в разделе Контент создано и отображает 2 элемента.

    Снимок экрана: элемент содержимого правила аналитики в решении для действия Azure.

Запрос охоты

Выполните предоставленный запрос охоты или настройте его.

  1. Чтобы начать поиск сразу, выберите Выполнить запрос на странице сведений, чтобы получить быстрые результаты.

    Снимок экрана: элемент содержимого клонированного запроса охоты в решении для действия Azure.

  2. Чтобы настроить запрос охоты, щелкните ссылку в столбце Имя содержимого .

    В коллекции охоты можно создать клон шаблона охотничьего запроса только для чтения, перейдя в меню с многоточием. Запросы охоты, созданные таким образом, отображаются в виде элементов в столбце созданного содержимого центра содержимого .

Книга

Чтобы настроить книгу, созданную на основе шаблона, создайте экземпляр книги.

  1. Выберите Просмотреть шаблон , чтобы открыть книгу и просмотреть визуализации.

  2. Нажмите кнопку Сохранить , чтобы создать экземпляр шаблона книги.

  3. Просмотрите сохраненную настраиваемую книгу, выбрав Просмотреть сохраненную книгу.

  4. В центре содержимого выберите ссылку 1 элемент в столбце Созданное содержимое , чтобы управлять книгой.

    Снимок экрана: сохраненный элемент книги в решении для действия Azure.

Анализатора

При установке решения все включенные средства синтаксического анализа добавляются в качестве функций рабочей области в Log Analytics.

  1. Выберите Загрузить код функции, чтобы открыть Log Analytics и просмотреть или запустить код функции.

  2. Выберите Использовать в редакторе , чтобы открыть Log Analytics с именем средства синтаксического анализа, готовым к добавлению в пользовательский запрос.

    Снимок экрана: тип контента средства синтаксического анализа в решении.

Playbook

Создайте сборник схем на основе шаблона.

  1. Выберите ссылку Имя содержимого в сборнике схем.

  2. Выберите шаблон и щелкните Создать сборник схем.

  3. После создания сборника схем активный сборник схем отображается в столбце Созданное содержимое .

  4. Выберите ссылку на активный элемент сборника схем 1 , чтобы управлять сборником схем.

    Снимок экрана: тип контента типа сборника схем в решении.

Поиск модели поддержки для содержимого

Каждое решение и отдельный элемент содержимого объясняет свою модель поддержки в области сведений в поле Поддержка , где указано имя майкрософт или партнера. Например, вы можете:

Снимок экрана: где можно найти модель поддержки для решения.

При обращении в службу поддержки могут потребоваться другие сведения о решении, такие как издатель, поставщик и значения идентификатора плана. Найдите эти сведения на странице сведений на вкладке Сведения об использовании & поддержки .

Снимок экрана: сведения об использовании и поддержке решения.

Дальнейшие действия

В этом документе вы узнали, как найти и развернуть встроенные решения и автономное содержимое для Microsoft Sentinel.

Многие решения включают соединители данных, которые необходимо настроить, чтобы вы могли начать прием данных в Microsoft Sentinel. Каждый соединитель данных имеет собственный набор требований, которые подробно описаны на странице соединителя данных в Microsoft Sentinel.

Дополнительные сведения см. в разделе Подключение источника данных.

  • Last updated on