Откройте и управляйте готовым содержимым Microsoft Sentinel

Центр содержимого Microsoft Sentinel — это ваша централизованная площадка для обнаружения и управления готовым (встроенным) содержимым. Там вы найдете упакованные решения для комплексных продуктов по домену или отрасли. У вас есть доступ к большому количеству отдельных вкладов, размещенных в нашем репозитории GitHub и панелях функций.

• Откройте для себя решения и автономный контент с единообразным набором возможностей фильтрации по статусу, типу контента, поддержке, поставщику и категории.

• Установите содержимое в рабочей области одновременно или по отдельности.

• Просмотрите содержимое в представлении списка и быстро увидите, какие решения имеют обновления. Обновите решения одновременно, в то время как отдельный контент обновляется автоматически.

• Управление решением для установки типов контента и получения последних изменений.

• Настройте автономное содержимое для создания новых активных элементов на основе самого актуального шаблона.

Если вы являетесь партнером, желающим создать собственное решение, ознакомьтесь с руководством по созданию и публикации решений Microsoft Sentinel.

Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.

Дополнительные сведения о ролях и разрешениях, поддерживаемых для Microsoft Sentinel, см. в статье Разрешения в Microsoft Sentinel.

Центр содержимого предлагает лучший способ найти новое содержимое или управлять уже установленными решениями.

1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
   Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление содержимым>Центр контента.

   На странице центра содержимого отображается сетка с возможностью поиска или список решений и отдельное содержимое.

2. Найдите нужные решения или автономные элементы содержимого. Выберите определенные значения из фильтров или введите условие поиска в поле поиска . Поиски используют ИИ для поддержки нечетких поисковых запросов и приблизительного словаря.

   При поиске обязательно нажмите клавишу ВВОД , чтобы начать поиск. Количество результатов поиска ограничено 50 элементами, включая решения и элементы содержимого, найденные в решениях. Если вы не найдете нужные сведения, попробуйте уточнить выражение поиска или использовать различные фильтры.

   Дополнительные сведения см. в статье Категории встроенного содержимого и решений Microsoft Sentinel.

3. В представлении списка ( ) выберите решение из списка, чтобы просмотреть сведения о решении, а также типы элементов содержимого, которые он включает.

   Разверните решение в результатах поиска или фильтра, чтобы просмотреть список элементов содержимого, которые он включает. В области сведений, расположенной сбоку, представлены подробные сведения о элементе содержимого.

   • Портал Azure
   • Портал Defender

   

   Кроме того, выберите представление карты ( ), чтобы просмотреть решения, представленные в сетке. Каждая карточка показывает имя решения, описание и категории. Выберите карточку, чтобы просмотреть дополнительную информацию о решении сбоку.

Чтобы использовать элемент содержимого, который является частью решения, необходимо установить все решение. Если вы выбрали определенный элемент содержимого в представлении списка, выберите " Установить решение " в области сведений на стороне, чтобы установить соответствующее решение.

Дополнительные сведения см. в статье Категории встроенного содержимого и решений Microsoft Sentinel.

Установите автономное содержимое и решения по отдельности или все вместе одним пакетом. Дополнительные сведения о массовых операциях см. в разделе "Массовая установка и обновление содержимого " в следующем разделе.

Если развернутое решение имеет обновления с момента последнего развертывания, в представлении списка отображается обновление в столбце состояния. Решение также включается в число обновлений в верхней части страницы.

Ниже приведен пример установки отдельного решения.

1. Центре контента, найдите и выберите решение.

2. В панели деталей решений в правом нижнем углу выберите Просмотреть сведения.

3. Выберите "Создать " или "Обновить".

4. На вкладке "Основные сведения" введите подписку, группу ресурсов и рабочую область для развертывания решения. Например:

   

5. Нажмите кнопку "Далее ", чтобы перейти к оставшимся вкладкам, чтобы узнать об этом, и в некоторых случаях настроить каждый из компонентов содержимого.

   Вкладки соответствуют содержимому, предлагаемому решением. Различные решения могут иметь разные типы содержимого, поэтому в каждом решении могут не отображаться одни и те же вкладки.

   Вам также может быть предложено ввести учетные данные в службу, не относящуюся к Майкрософт, чтобы Microsoft Sentinel мог пройти проверку подлинности в ваших системах. Например, с сборниками схем может потребоваться выполнить действия реагирования, как указано в системе.

6. На вкладке "Просмотр и создание" дождитесь Validation Passed сообщения.

7. Выберите "Создать или обновить ", чтобы развернуть решение. Вы также можете выбрать ссылку Скачать шаблон для автоматизации, чтобы развернуть решение в виде кода.

Некоторые решения имеют зависимости для установки, включая множество доменных решений и решений, использующих унифицированные соединители AMA для CEF, Syslog или пользовательских журналов.

В таких случаях выберите " Установить с зависимостями" , чтобы убедиться, что необходимые соединители данных также установлены. Выберите одну или несколько зависимостей, чтобы установить их вместе с исходным решением. Исходное решение, которое вы решили установить, всегда выбирается по умолчанию.

Если одно или несколько решений зависимостей уже установлены, но имеют обновления, используйте кнопку Установить/Обновить для установки и обновления всех выбранных решений сразу. Например:

После установки решения каждый тип контента в решении может потребовать дополнительных действий по настройке. Дополнительные сведения см. в разделе "Включение элементов содержимого" в решении.

Центр содержимого поддерживает представление списка в дополнение к представлению карточек по умолчанию. Выберите представление списка для установки нескольких решений и автономного содержимого одновременно. Автономное содержимое обновляется автоматически. Любое активное или пользовательское содержимое, созданное на основе решений или самостоятельного содержимого, инсталлированного из концентратора содержимого, остается неизменным.

1. Чтобы установить или обновить элементы в массовом режиме, перейдите в представление списка.

2. Выполните поиск или фильтрацию, чтобы найти содержимое, которое требуется установить или обновить в массовом режиме.

3. Установите флажок для каждого решения или автономного содержимого, которое требуется установить или обновить.

4. Нажмите кнопку "Установить и обновить ".

   Если выбранное решение или автономное содержимое уже установлено или обновлено, действие не выполняется для этого элемента. Это не мешает обновлению и установке других элементов.

5. Выберите "Управление " для каждого установленного решения. Для настройки типов контента в решении может потребоваться дополнительная информация. Дополнительные сведения см. в разделе "Включение элементов содержимого" в решении.

Централизованное управление элементами содержимого для установленных решений из концентратора контента.

1. В центре содержимого выберите установленное решение версии 2.0.0 или выше.

2. На странице сведений о решениях выберите Управление.

   

3. Просмотрите список элементов содержимого.

   

4. Выберите элемент содержимого, чтобы приступить к работе.

В следующих разделах приведены некоторые советы по работе с различными типами контента при управлении решением.

Чтобы подключить соединитель данных, выполните действия по настройке.

1. Выберите Открыть страницу соединителя.

2. Выполните действия по настройке соединителя данных.

   

   После настройки коннектора данных и обнаружения журналов, статус изменится на Подключено.

Создайте правило из шаблона или измените существующее правило.

1. Просмотрите шаблон в коллекции шаблонов аналитики.

2. Если шаблон еще не используется, нажмите кнопку "Создать>правило" и выполните действия, чтобы включить правило аналитики.

   После создания правила количество активных правил, созданных из шаблона, отображается в столбце "Создано содержимое ".

3. Выберите ссылку "Активные правила", чтобы изменить существующее правило. Например, активная ссылка на правило на следующем изображении расположена под Созданное содержание и показывает 2 элемента.

   

Запустите предоставленный запрос охоты или настройте его.

1. Чтобы начать поиск сразу, выберите "Выполнить запрос " на странице сведений, чтобы получить быстрые результаты.

   

2. Чтобы настроить запрос на охоту, выберите ссылку в столбце "Имя контента".

   Из галереи охоты вы можете создать клон шаблона запроса только для чтения, перейдя в меню с тремя точками. Запросы для охоты, созданные таким образом, отображаются как элементы в столбце Созданное содержимое концентратора.

Чтобы настроить книгу, созданную из шаблона, создайте рабочую книгу.

1. Выберите шаблон просмотра, чтобы открыть рабочую книгу и просмотреть визуализации.

2. Нажмите кнопку "Сохранить ", чтобы создать экземпляр шаблона книги.

3. Просмотрите сохраненную настраиваемую книгу, выбрав "Просмотреть сохраненную книгу".

4. В центре содержимого выберите ссылку "1 элемент" в столбце 'Созданное содержимое' для управления электронной таблицей.

   

При установке решения все включенные средства синтаксического анализа добавляются в качестве функций рабочей области в Log Analytics.

1. Выберите "Загрузить код функции", чтобы открыть Log Analytics и просмотреть или запустить код функции.

2. Выберите «Использовать в редакторе», чтобы открыть Log Analytics с именем средства синтаксического анализа, готовым для добавления в ваш настраиваемый запрос.

   

Создайте плейбук из шаблона.

1. Выберите ссылку "Имя контента" сборника схем.

2. Выберите шаблон и нажмите "Создать плейбук".

3. После создания сборника схем активный сборник отображается в столбце «Созданное содержание».

4. Выберите ссылку на активный сборник схем 1 , чтобы управлять сборником схем.

   

Каждое решение и отдельный элемент содержимого объясняют свою модель поддержки в области сведений в поле поддержки , где указана корпорация Майкрософт или имя партнера. Например:

При обращении в службу поддержки могут потребоваться другие сведения о решении, такие как издатель, поставщик и значения идентификатора плана. Найдите эти сведения на странице сведений на вкладке сведений об использовании и поддержке .

В этом документе вы узнали, как найти и развернуть встроенные решения и автономное содержимое для Microsoft Sentinel.

• Узнайте подробнее о решениях Microsoft Sentinel.
• Полный каталог решений Microsoft Sentinel в Azure Marketplace.
• Найдите решения, относящиеся к домену, в каталоге центра содержимого Microsoft Sentinel.
• Удалите установленное по умолчанию содержимое и решения Microsoft Sentinel.

Многие решения включают соединители данных, которые необходимо настроить, чтобы начать загрузку данных в Microsoft Sentinel. Каждый соединитель данных имеет собственный набор требований, подробных на странице соединителя данных в Microsoft Sentinel.

Дополнительные сведения см. в разделе Подключение к источнику данных.