Поделиться через

Откройте и управляйте готовым содержимым Microsoft Sentinel

  • Статья
  • Применяется к: Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Центр содержимого Microsoft Sentinel — это ваша централизованная площадка для обнаружения и управления готовым (встроенным) содержимым. Там вы найдете упакованные решения для комплексных продуктов по домену или отрасли. У вас есть доступ к большому количеству отдельных вкладов, размещенных в нашем репозитории GitHub и панелях функций.

  • Откройте для себя решения и автономный контент с единообразным набором возможностей фильтрации по статусу, типу контента, поддержке, поставщику и категории.

  • Установите содержимое в рабочей области одновременно или по отдельности.

  • Просмотрите содержимое в представлении списка и быстро увидите, какие решения имеют обновления. Обновите решения одновременно, в то время как отдельный контент обновляется автоматически.

  • Управление решением для установки типов контента и получения последних изменений.

  • Настройте автономное содержимое для создания новых активных элементов на основе самого актуального шаблона.

Если вы являетесь партнером, желающим создать собственное решение, ознакомьтесь с руководством по созданию и публикации решений Microsoft Sentinel.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. В рамках предварительной версии Microsoft Sentinel доступен на портале Defender без Microsoft Defender XDR или лицензии E5. Для получения дополнительной информации см. Microsoft Sentinel на портале Microsoft Defender.

Предварительные условия

Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.

Дополнительные сведения о ролях и разрешениях, поддерживаемых для Microsoft Sentinel, см. в статье Разрешения в Microsoft Sentinel.

Поиск содержимого

Центр содержимого предлагает лучший способ найти новое содержимое или управлять уже установленными решениями.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление содержимым>Центр контента.

    На странице центра содержимого отображается сетка с возможностью поиска или список решений и отдельное содержимое.

  2. Найдите нужные решения или автономные элементы содержимого. Выберите определенные значения из фильтров или введите условие поиска в поле поиска . Поиски используют ИИ для поддержки нечетких поисковых запросов и приблизительного словаря.

    При поиске обязательно нажмите клавишу ВВОД , чтобы начать поиск. Количество результатов поиска ограничено 50 элементами, включая решения и элементы содержимого, найденные в решениях. Если вы не найдете нужные сведения, попробуйте уточнить выражение поиска или использовать различные фильтры.

    Дополнительные сведения см. в статье Категории встроенного содержимого и решений Microsoft Sentinel.

  3. В представлении списка ( ) выберите решение из списка, чтобы просмотреть сведения о решении, а также типы элементов содержимого, которые он включает.

    Разверните решение в результатах поиска или фильтра, чтобы просмотреть список элементов содержимого, которые он включает. В области сведений, расположенной сбоку, представлены подробные сведения о элементе содержимого.

    Кроме того, выберите представление карты ( ), чтобы просмотреть решения, представленные в сетке. Каждая карточка показывает имя решения, описание и категории. Выберите карточку, чтобы просмотреть дополнительную информацию о решении сбоку.

Чтобы использовать элемент содержимого, который является частью решения, необходимо установить все решение. Если вы выбрали определенный элемент содержимого в представлении списка, выберите " Установить решение " в области сведений на стороне, чтобы установить соответствующее решение.

Дополнительные сведения см. в статье Категории встроенного содержимого и решений Microsoft Sentinel.

Установка или обновление содержимого

Установите автономное содержимое и решения по отдельности или все вместе одним пакетом. Дополнительные сведения о массовых операциях см. в разделе "Массовая установка и обновление содержимого " в следующем разделе.

Если развернутое решение имеет обновления с момента последнего развертывания, в представлении списка отображается обновление в столбце состояния. Решение также включается в число обновлений в верхней части страницы.

Ниже приведен пример установки отдельного решения.

  1. Центре контента, найдите и выберите решение.

  2. В панели деталей решений в правом нижнем углу выберите Просмотреть сведения.

  3. Выберите "Создать " или "Обновить".

  4. На вкладке "Основные сведения" введите подписку, группу ресурсов и рабочую область для развертывания решения. Например:

    Снимок экрана мастера установки решения с вкладкой

  5. Нажмите кнопку "Далее ", чтобы перейти к оставшимся вкладкам, чтобы узнать об этом, и в некоторых случаях настроить каждый из компонентов содержимого.

    Вкладки соответствуют содержимому, предлагаемому решением. Различные решения могут иметь разные типы содержимого, поэтому в каждом решении могут не отображаться одни и те же вкладки.

    Вам также может быть предложено ввести учетные данные в службу, не относящуюся к Майкрософт, чтобы Microsoft Sentinel мог пройти проверку подлинности в ваших системах. Например, с сборниками схем может потребоваться выполнить действия реагирования, как указано в системе.

  6. На вкладке "Просмотр и создание" дождитесь Validation Passed сообщения.

  7. Выберите "Создать или обновить ", чтобы развернуть решение. Вы также можете выбрать ссылку Скачать шаблон для автоматизации, чтобы развернуть решение в виде кода.

Установка с зависимостями

Некоторые решения имеют зависимости для установки, включая множество доменных решений и решений, использующих унифицированные соединители AMA для CEF, Syslog или пользовательских журналов.

В таких случаях выберите " Установить с зависимостями" , чтобы убедиться, что необходимые соединители данных также установлены. Выберите одну или несколько зависимостей, чтобы установить их вместе с исходным решением. Исходное решение, которое вы решили установить, всегда выбирается по умолчанию.

Если одно или несколько решений зависимостей уже установлены, но имеют обновления, используйте кнопку Установить/Обновить для установки и обновления всех выбранных решений сразу. Например:

Снимок экрана: установка нескольких зависимостей решения в массовом режиме.

После установки решения каждый тип контента в решении может потребовать дополнительных действий по настройке. Дополнительные сведения см. в разделе "Включение элементов содержимого" в решении.

Массовая установка и обновление контента

Центр содержимого поддерживает представление списка в дополнение к представлению карточек по умолчанию. Выберите представление списка для установки нескольких решений и автономного содержимого одновременно. Автономное содержимое обновляется автоматически. Любое активное или пользовательское содержимое, созданное на основе решений или самостоятельного содержимого, инсталлированного из концентратора содержимого, остается неизменным.

  1. Чтобы установить или обновить элементы в массовом режиме, перейдите в представление списка.

  2. Выполните поиск или фильтрацию, чтобы найти содержимое, которое требуется установить или обновить в массовом режиме.

  3. Установите флажок для каждого решения или автономного содержимого, которое требуется установить или обновить.

  4. Нажмите кнопку "Установить и обновить ". Снимок экрана: представление списка решений с несколькими решениями, выбранными и выполняемыми для установки.

    Если выбранное решение или автономное содержимое уже установлено или обновлено, действие не выполняется для этого элемента. Это не мешает обновлению и установке других элементов.

  5. Выберите "Управление " для каждого установленного решения. Для настройки типов контента в решении может потребоваться дополнительная информация. Дополнительные сведения см. в разделе "Включение элементов содержимого" в решении.

Активировать элементы содержимого в решении

Централизованное управление элементами содержимого для установленных решений из концентратора контента.

  1. В центре содержимого выберите установленное решение версии 2.0.0 или выше.

  2. На странице сведений о решениях выберите Управление.

    Снимок экрана: кнопка

  3. Просмотрите список элементов содержимого.

    Снимок экрана описания решения и списка элементов содержимого для Azure Activity solution.

  4. Выберите элемент содержимого, чтобы приступить к работе.

Управление каждым типом контента

В следующих разделах приведены некоторые советы по работе с различными типами контента при управлении решением.

Соединитель данных

Чтобы подключить соединитель данных, выполните действия по настройке.

  1. Выберите Открыть страницу соединителя.

  2. Выполните действия по настройке соединителя данных.

    Снимок экрана: элемент содержимого соединителя данных для решения Azure Activity, где статус отключен.

    После настройки коннектора данных и обнаружения журналов, статус изменится на Подключено.

Правило аналитики

Создайте правило из шаблона или измените существующее правило.

  1. Просмотрите шаблон в коллекции шаблонов аналитики.

  2. Если шаблон еще не используется, нажмите кнопку "Создать>правило" и выполните действия, чтобы включить правило аналитики.

    После создания правила количество активных правил, созданных из шаблона, отображается в столбце "Создано содержимое ".

  3. Выберите ссылку "Активные правила", чтобы изменить существующее правило. Например, активная ссылка на правило на следующем изображении расположена под Созданное содержание и показывает 2 элемента.

    Снимок экрана: элемент содержимого правила аналитики в решении для активности Azure.

Запрос на охоту

Запустите предоставленный запрос охоты или настройте его.

  1. Чтобы начать поиск сразу, выберите "Выполнить запрос " на странице сведений, чтобы получить быстрые результаты.

    Снимок экрана клонированного элемента содержимого охотничьего запроса в решении для Azure Activity.

  2. Чтобы настроить запрос на охоту, выберите ссылку в столбце "Имя контента".

    Из галереи охоты вы можете создать клон шаблона запроса только для чтения, перейдя в меню с тремя точками. Запросы для охоты, созданные таким образом, отображаются как элементы в столбце Созданное содержимое концентратора.

Рабочая тетрадь

Чтобы настроить книгу, созданную из шаблона, создайте рабочую книгу.

  1. Выберите шаблон просмотра, чтобы открыть рабочую книгу и просмотреть визуализации.

  2. Нажмите кнопку "Сохранить ", чтобы создать экземпляр шаблона книги.

  3. Просмотрите сохраненную настраиваемую книгу, выбрав "Просмотреть сохраненную книгу".

  4. В центре содержимого выберите ссылку "1 элемент" в столбце 'Созданное содержимое' для управления электронной таблицей.

    Снимок экрана сохраненного элемента рабочей книги в решении для активности Azure.

Средство синтаксического анализа

При установке решения все включенные средства синтаксического анализа добавляются в качестве функций рабочей области в Log Analytics.

  1. Выберите "Загрузить код функции", чтобы открыть Log Analytics и просмотреть или запустить код функции.

  2. Выберите «Использовать в редакторе», чтобы открыть Log Analytics с именем средства синтаксического анализа, готовым для добавления в ваш настраиваемый запрос.

    Снимок экрана: тип контента синтаксического анализа в решении.

Справочник стратегий

Создайте плейбук из шаблона.

  1. Выберите ссылку "Имя контента" сборника схем.

  2. Выберите шаблон и нажмите "Создать плейбук".

  3. После создания сборника схем активный сборник отображается в столбце «Созданное содержание».

  4. Выберите ссылку на активный сборник схем 1 , чтобы управлять сборником схем.

    Скриншот типа контента плейбука в решении.

Поиск модели поддержки содержимого

Каждое решение и отдельный элемент содержимого объясняют свою модель поддержки в области сведений в поле поддержки , где указана корпорация Майкрософт или имя партнера. Например:

Снимок экрана: где можно найти модель поддержки для решения.

При обращении в службу поддержки могут потребоваться другие сведения о решении, такие как издатель, поставщик и значения идентификатора плана. Найдите эти сведения на странице сведений на вкладке сведений об использовании и поддержке .

Снимок экрана: сведения об использовании и поддержке решения.

Следующие шаги

В этом документе вы узнали, как найти и развернуть встроенные решения и автономное содержимое для Microsoft Sentinel.

Многие решения включают соединители данных, которые необходимо настроить, чтобы начать загрузку данных в Microsoft Sentinel. Каждый соединитель данных имеет собственный набор требований, подробных на странице соединителя данных в Microsoft Sentinel.

Дополнительные сведения см. в разделе Подключение к источнику данных.