Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
重要
注意:所有 Microsoft Sentinel 功能将根据 世纪互联发布的公告 于 2026年8月18日 在中国地区的 Azure 正式停用。
Microsoft Sentinel内容包括安全信息和事件管理(SIEM)解决方案组件,可帮助引入数据、监视、警报和响应安全威胁。 本文介绍Microsoft Sentinel中的内容和解决方案的类型,以及它们如何帮助安全操作。
支持的内容
内容在 Microsoft Sentinel Content hub 中可用,包括以下类型:
| 内容类型 | 说明 |
|---|---|
| 分析规则 | 通过事件创建指向相关 SOC 操作的警报。 |
| 数据连接器 | 将来自不同源的日志引入Microsoft Sentinel。 |
| 搜寻查询 | 帮助 SOC 团队在 Microsoft Sentinel 中主动猎寻威胁。 |
| 解析 器 | 将日志格式化并转换为 高级安全信息模型(ASIM) 格式,以便在不同的内容类型和方案中使用。 |
| Playbook 和Azure 逻辑应用自定义连接器 | 在Microsoft Sentinel中自动执行调查、修正和响应方案。 |
| 监视列表 | 引入特定数据以提高威胁检测和减少警报疲劳。 |
| 工作簿 | 监视、可视化和与Microsoft Sentinel中的数据交互,以查看有意义的见解。 |
内容中心将这些内容类型作为解决方案和独立项提供。 解决方案是支持Microsoft Sentinel中端到端产品、域或行业垂直方案的Microsoft Sentinel内容或Microsoft Sentinel API 集成包。
根据需要自定义现成 (OOTB) 内容,或者创建自己的解决方案以与社区中的其他成员共享。 有关详细信息,请参阅用于创作和发布解决方案的 Microsoft Sentinel 解决方案生成指南。
发现和管理Microsoft Sentinel中的内容
使用 Microsoft Sentinel 内容中心统一查找并安装 out-of-the-box (OOTB) 内容。
使用 Microsoft Sentinel Content 中心可在产品中找到内容、在单个步骤中部署内容,并在Microsoft Sentinel中启用端到端产品、域或垂直 OOTB 解决方案和内容。
按 类别 和其他参数进行筛选,或使用文本搜索查找最适合组织的内容。
内容中心还显示每个内容的支持模型。 某些内容由Microsoft维护,其他内容由合作伙伴或社区维护。
在“内容中心”中管理现成内容的更新。 对于自定义内容,请从 “存储库 ”页管理更新。 有关详细信息,请参阅 发现和管理 Microsoft Sentinel 开箱即用的内容。
根据需要自定义现装内容,或创建自定义内容,包括分析规则、搜寻查询、工作簿等。
使用 Microsoft Sentinel API 或源代码管理存储库直接在Microsoft Sentinel工作区中管理自定义内容。 有关详细信息,请参阅 Microsoft Sentinel API。
为何使用Microsoft Sentinel解决方案?
Microsoft Sentinel解决方案是打包的集成,为 Content hub 中的一个或多个域或垂直方案提供端到端产品价值。
解决方案体验由Azure 市场提供支持,可帮助你查找和部署所需的内容。 有关创作和发布Azure 市场解决方案的详细信息,请参阅 Microsoft Sentinel 解决方案生成指南。
Integrations包括使用Microsoft Sentinel或Azure Log Analytics API 生成的服务或工具,这些 API 支持Azure与现有客户应用程序之间的集成,或者将数据、查询等从这些应用程序移动到Microsoft Sentinel。
使用解决方案一步安装现成 (OOTB) 内容的包。 内容通常可供立即使用。 提供商和合作伙伴可以使用 Sentinel 解决方案,通过提供组合产品、领域或垂直价值来增加其客户的投资价值。
使用 内容中心 根据方案集中查找和部署解决方案和 OOTB 内容。
有关详细信息,请参见:
Microsoft Sentinel现装内容和解决方案的类别
Microsoft Sentinel内置内容适合于一个或多个类别。 在 内容中心,选择要查看的类别以更改显示的内容。 可以在 内容中心 找到社区交付的项目,作为独立内容或解决方案。
领域类别
| 类别名称 | 说明 |
|---|---|
| 应用程序 | 基于 Web、基于服务器的 SaaS、数据库、通信或生产力服务 |
| 云提供商 | 云服务 |
| 云安全 | 云安全服务 |
| 遵从性 | 合规性产品、服务和协议 |
| DevOps | 开发运营工具和服务 |
| 标识 | 标识服务提供商和集成 |
| 物联网 (IoT) | IoT、操作技术 (OT) 设备和基础设施、工业控制服务 |
| IT 操作 | 管理 IT 的产品和服务 |
| 迁移 | 迁移支持产品和服务 |
| 联网 | 网络产品、服务和工具 |
| 平台 | Microsoft Sentinel通用组件或框架组件、云基础结构和平台 |
| 安全性 | 常规安全产品 |
| 安全性 - 零日漏洞 | 针对零时差漏洞攻击的专门解决方案 |
| 安全性 - 自动化 (SOAR) | 安全自动化、SOAR(安全运营和自动响应)、安全运营以及事件响应产品和服务。 |
| 安全性 - 云安全性 | CASB(云访问服务代理)、CWPP(云工作负载保护平台)、CSPM(云安全态势管理)和其他云安全产品和服务 |
| 安全 - 信息保护 | 信息保护和文档保护产品与服务 |
| 安全性 - 内部威胁 | 内部威胁与用户和实体行为分析(UEBA)在安全产品和服务中的应用 |
| 安全性 - 网络 | 安全网络设备、防火墙、NDR(网络检测与响应)、NIDP(网络入侵与检测防御)和网络数据包捕获 |
| 安全性 - 其他 | 没有其他明确类别的其他安全产品和服务 |
| 安全性 - 威胁情报 | 威胁情报平台、源、产品和服务 |
| 安全性 - 威胁防护 | 威胁防护、电子邮件保护、扩展检测和响应 (XDR) 以及终结点保护产品与服务 |
| 安全性 - 漏洞管理 | 漏洞管理产品和服务 |
| 存储 | 文件存储和文件共享产品与服务 |
| 培训和教程 | 培训、教程和入职资产 |
| 用户行为 (UEBA) | 用户行为分析产品和服务 |
行业垂直类别
| 类别名称 | 说明 |
|---|---|
| 航空 | 特定于航空行业的产品、服务和内容 |
| 教育水平 | 特定于教育行业的产品、服务和内容 |
| 金融 | 特定于金融行业的产品、服务和内容 |
| 医疗保健 | 特定于医疗保健行业的产品、服务和内容 |
| 制造 | 特定于制造行业的产品、服务和内容 |
| 零售 | 特定于零售行业的产品、服务和内容 |
| 软件 | 特定于软件行业的产品、服务和内容 |
支持Microsoft Sentinel开箱即用内容和解决方案的模型
Microsoft与其他组织创作Microsoft Sentinel开箱即用的内容和解决方案。 每项现成内容或解决方案具有以下支持类型之一:
| 支持模型 | 说明 |
|---|---|
| 由 Microsoft 支持 | 适用于: - 内容或解决方案,其中Microsoft是数据提供方(在相关情况下)和作者。 - 一些针对非Microsoft数据源Microsoft创作的内容或解决方案。 Microsoft支持和维护此支持模型中的内容或解决方案。 合作伙伴或社区支持由除Microsoft以外的任何方创作的内容或解决方案。 |
| 合作伙伴支持 | 适用于Microsoft以外的各方创作的内容或解决方案。 合作伙伴公司为这些内容或解决方案提供支持或维护。 合作伙伴公司可以是独立的软件供应商、托管服务提供商(MSP 或 MSSP)、系统集成商(SI)或任何组织,其联系信息在所选内容或解决方案的Microsoft Sentinel页上提供。 对于合作伙伴支持的解决方案如有任何问题,请联系指定的支持联系人。 |
| 社区支持 | 适用于Microsoft或合作伙伴开发人员创作的内容或解决方案,而无需在Microsoft Sentinel中列出支持和维护联系人。 有关这些解决方案的问题,在 Microsoft Sentinel GitHub 社区中提交问题。 |
Microsoft Sentinel内容和解决方案的内容源
每项内容或解决方案具有以下内容源之一:
| 内容源 | 说明 |
|---|---|
| 解决方案 | 由内容中心部署的支持生命周期管理的解决方案。 |
| 独立 | 由内容中心部署的独立内容会自动保持最新状态。 |
| 自定义 | 你在工作区中自定义的内容或解决方案。 |
| 存储库 | 连接到您的工作区的存储库中的内容或解决方案。 |
后续步骤
在Microsoft Sentinel工作区中发现并安装来自 Content 中心的解决方案和独立内容。
有关详细信息,请参见: