Microsoft Sentinel 内容包括安全信息和事件管理(SIEM)解决方案组件,可帮助引入数据、监视、警报和响应安全威胁。 本文介绍 Microsoft Sentinel 中的内容和解决方案类型,以及它们如何帮助你的安全作。
支持的内容
内容在 Microsoft Sentinel 内容中心提供,包括以下类型:
| 内容类型 | 说明 |
|---|---|
| 分析规则 | 通过事件创建指向相关 SOC 操作的警报。 |
| 数据连接器 | 将来自不同源的日志引入Microsoft Sentinel。 |
| 搜寻查询 | 帮助 SOC 团队主动搜寻Microsoft Sentinel 中的威胁。 |
| 解析 器 | 将日志格式化并转换为 高级安全信息模型(ASIM) 格式,以便在不同的内容类型和方案中使用。 |
| Playbook 和 Azure 逻辑应用自定义连接器 | Microsoft Sentinel 中自动执行调查、修正和响应方案。 |
| 监视列表 | 引入特定数据以提高威胁检测和减少警报疲劳。 |
| 工作簿 | 监视、可视化和与Microsoft Sentinel 中的数据交互,以查看有意义的见解。 |
内容中心将这些内容类型作为解决方案和独立项提供。 解决方案 是 Microsoft Sentinel 内容或 Microsoft Sentinel API 集成包,这些集成支持 Microsoft Sentinel 中的端到端产品、域或行业垂直方案。
根据需要自定义现成 (OOTB) 内容,或者创建自己的解决方案以与社区中的其他成员共享。 有关详细信息,请参阅用于创作和发布 解决方案的 Microsoft Sentinel 解决方案生成指南 。
在 Microsoft Sentinel 中发现和管理内容
使用 Microsoft Sentinel 内容中心 集中查找和安装开箱即用(OOTB)内容。
借助 Microsoft Sentinel 内容中心 ,可以在产品中找到内容、在单个步骤中部署内容,并在 Microsoft Sentinel 中启用端到端产品、域或垂直 OOTB 解决方案和内容。
按 类别 和其他参数进行筛选,或使用文本搜索查找最适合组织的内容。
内容中心还显示每个内容的支持模型。 某些内容由Microsoft维护,其他内容由合作伙伴或社区维护。
在“内容中心”中管理现成内容的更新。 对于自定义内容,请从 “存储库 ”页管理更新。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 现成内容。
根据需要自定义现装内容,或创建自定义内容,包括分析规则、搜寻查询、工作簿等。
使用 Microsoft Sentinel API 或源代码管理存储库直接在 Microsoft Sentinel 工作区中管理自定义内容。 有关详细信息,请参阅 Microsoft Sentinel API。
为什么使用 Microsoft Sentinel 解决方案?
Microsoft Sentinel 解决方案是打包集成,可为 内容中心中的一个或多个域或垂直方案提供端到端产品价值。
解决方案体验由 Azure 市场提供支持,可帮助你查找和部署所需的内容。 有关在 Azure 市场中创作和发布解决方案的详细信息,请参阅 Microsoft Sentinel 解决方案生成指南。
打包内容 是 Microsoft Sentinel 内容的一个或多个组件的集合。
集成 包括使用 Microsoft Sentinel 或 Azure Log Analytics API 生成的服务或工具,这些 API 支持 Azure 与现有客户应用程序之间的集成,或者将数据、查询等从这些应用程序移动到 Microsoft Sentinel。
使用解决方案一步安装现成 (OOTB) 内容的包。 内容通常可供立即使用。 提供商和合作伙伴可以使用 Sentinel 解决方案,通过提供组合产品、领域或垂直价值来增加其客户的投资价值。
使用 内容中心 根据方案集中查找和部署解决方案和 OOTB 内容。
有关详细信息,请参见:
Microsoft Sentinel 现成内容和解决方案的目录
Microsoft Sentinel 现成内容属于这些类别中的一个或多个类别。 在 内容中心,选择要查看的类别以更改显示的内容。 可以在 内容中心 找到社区交付的项目,作为独立内容或解决方案。
领域类别
| 类别名称 | 说明 |
|---|---|
| 应用程序 | 基于 Web、基于服务器的 SaaS、数据库、通信或生产力服务 |
| 云提供商 | 云服务 |
| 云安全 | 云安全服务 |
| 遵从性 | 合规性产品、服务和协议 |
| DevOps | 开发运营工具和服务 |
| 标识 | 标识服务提供商和集成 |
| 物联网 (IoT) | IoT、操作技术 (OT) 设备和基础设施、工业控制服务 |
| IT 操作 | 管理 IT 的产品和服务 |
| 迁移 | 迁移支持产品和服务 |
| 联网 | 网络产品、服务和工具 |
| 平台 | Microsoft Sentinel 通用或框架组件、云基础设施和平台 |
| 安全性 | 常规安全产品 |
| 安全性 - 零日漏洞 | 针对零时差漏洞攻击的专门解决方案 |
| 安全性 - 自动化 (SOAR) | 安全自动化、SOAR(安全运营和自动响应)、安全运营以及事件响应产品和服务。 |
| 安全性 - 云安全性 | CASB(云访问服务代理)、CWPP(云工作负载保护平台)、CSPM(云安全态势管理)和其他云安全产品和服务 |
| 安全性 - 信息保护 | 信息保护和文档保护产品与服务 |
| 安全性 - 内部威胁 | 内部威胁与用户和实体行为分析(UEBA)在安全产品和服务中的应用 |
| 安全性 - 网络 | 安全网络设备、防火墙、NDR(网络检测与响应)、NIDP(网络入侵与检测防御)和网络数据包捕获 |
| 安全性 - 其他 | 没有其他明确类别的其他安全产品和服务 |
| 安全性 - 威胁情报 | 威胁情报平台、源、产品和服务 |
| 安全性 - 威胁防护 | 威胁防护、电子邮件保护、扩展检测和响应 (XDR) 以及终结点保护产品与服务 |
| 安全性 - 漏洞管理 | 漏洞管理产品和服务 |
| 存储 | 文件存储和文件共享产品与服务 |
| 培训和教程 | 培训、教程和入职资产 |
| 用户行为 (UEBA) | 用户行为分析产品和服务 |
行业垂直类别
| 类别名称 | 说明 |
|---|---|
| 航空 | 特定于航空行业的产品、服务和内容 |
| 教育水平 | 特定于教育行业的产品、服务和内容 |
| 金融 | 特定于金融行业的产品、服务和内容 |
| 医疗保健 | 特定于医疗保健行业的产品、服务和内容 |
| 制造 | 特定于制造行业的产品、服务和内容 |
| 零售 | 特定于零售行业的产品、服务和内容 |
| 软件 | 特定于软件行业的产品、服务和内容 |
支持 Microsoft Sentinel 现成内容和解决方案的模型
Microsoft和其他组织创作了Microsoft Sentinel的开箱即用内容和解决方案。 每项现成内容或解决方案具有以下支持类型之一:
| 支持模型 | 说明 |
|---|---|
| Microsoft 支持 | 适用于: - 内容或解决方案,其中Microsoft是数据提供者,并且在相关情况下是作者。 - 适用于非Microsoft数据源的一些Microsoft创作的内容或解决方案。 Microsoft支持和维护此支持模型中的内容或解决方案。 合作伙伴或社区支持由除Microsoft以外的任何方创作的内容或解决方案。 |
| 合作伙伴支持 | 适用于Microsoft以外的各方创作的内容或解决方案。 合作伙伴公司为这些内容或解决方案提供支持或维护。 合作伙伴公司可以是独立的软件供应商、托管服务提供商(MSP 或 MSSP)、系统集成商(SI)或任何在所选内容或解决方案的Microsoft Sentinel 页面上提供的联系信息的组织。 对于合作伙伴支持的解决方案如有任何问题,请联系指定的支持联系人。 |
| 社区支持 | 适用于 Microsoft 或合作伙伴开发人员创作的、未在 Microsoft Sentinel 中列出支持和维护联系人的内容/解决方案。 对于这些解决方案如有疑问或问题,请在 Microsoft Sentinel GitHub 社区提出问题。 |
Microsoft Sentinel 内容和解决方案的内容源
每项内容或解决方案具有以下内容源之一:
| 内容源 | 说明 |
|---|---|
| 解决方案 | 由内容中心部署的支持生命周期管理的解决方案。 |
| 独立 | 由内容中心部署的独立内容会自动保持最新状态。 |
| 自定义 | 你在工作区中自定义的内容或解决方案。 |
| 存储库 | 连接到您的工作区的存储库中的内容或解决方案。 |
后续步骤
从 Microsoft Sentinel 工作区中的“内容中心”发现并安装解决方案和独立内容。
有关详细信息,请参见: