关于 Microsoft Sentinel 内容和解决方案

Microsoft Sentinel 内容是指安全信息和事件管理 (SIEM) 解决方案组件,使客户能够引入数据、监视、警示、搜寻、调查、响应和连接不同的产品、平台和服务。

Microsoft Sentinel 中的内容包括以下任何类型:

  • 数据连接器可将来自不同来源的日志引入到 Microsoft Sentinel 中
  • 分析器提供日志格式设置/转换为高级安全信息模型 (ASIM) 格式,支持在各种 Microsoft Sentinel 内容类型和方案中使用
  • 工作簿提供了对 Microsoft Sentinel 中数据的监控、可视化效果和交互性,为用户突出显示有意义的见解
  • 分析规则通过事件提供指向相关 SOC 操作的警报
  • SOC 团队使用搜寻查询来主动搜寻 Microsoft Sentinel 中的威胁
  • 笔记本帮助 SOC 团队在 Jupyter 和 Azure Notebooks 中使用高级搜寻功能
  • 监视列表支持引入特定数据以增强威胁检测并减少警报疲劳
  • Playbook 和 Azure 逻辑应用自定义连接器为 Microsoft Sentinel 中的自动调查、修正和响应方案提供功能

Microsoft Sentinel 将这些内容类型作为解决方案和独立项提供。 解决方案是指 Microsoft Sentinel 内容或 Microsoft Sentinel API 集成包,可在 Microsoft Sentinel 中实现端到端的产品、领域或行业垂直方案。 解决方案和独立项均可从内容中心发现和管理。

你可以根据自己的需求自定义现成 (OOTB) 内容,也可以使用内容创建自己的解决方案以便与社区中的其他人共享。 有关详细信息,请参阅 Microsoft Sentinel 解决方案构建指南,了解解决方案的创作和发布。

发现和管理 Microsoft Sentinel 内容

使用 Microsoft Sentinel 内容中心可以集中发现和安装现成 (OOTB) 的内容。

Microsoft Sentinel 内容中心提供产品内部的可发现性、单步部署,并可以在 Microsoft Sentinel 中启用现成的端到端产品、领域和/或垂直 OOTB 解决方案与内容。

  • 类别和其他参数进行筛选,或使用强大的文本搜索功能来查找最适合你组织需求的内容。

    内容中心还会指明应用于每项内容的支持模型,因为有些内容由 Microsoft 维护,还有些内容由合作伙伴或社区维护。

  • 管理“内容中心”中现成内容的更新。 或者,对于自定义内容,从“存储库”页面管理更新。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容

  • 根据自己的需求自定义现成内容,或创建自定义内容,包括分析规则、搜寻查询、笔记本、工作簿等。

    通过使用 Microsoft Sentinel API 直接在 Microsoft Sentinel 工作区中管理自定义内容,或者从自己的源代码管理存储库管理自定义内容。 有关详细信息,请参阅 Microsoft Sentinel API

为何使用内容中心解决方案?

Microsoft Sentinel 解决方案是打包集成,可为内容中心的一个或多个领域或垂直方案提供端到端的产品价值。

解决方案体验由 Azure 市场提供支持,可帮助你发现和部署所需的内容。 有关在 Azure 市场中创作和发布解决方案的详细信息,请参阅 Microsoft Sentinel 解决方案生成指南

  • 打包内容是一个或多个 Microsoft Sentinel 内容组件的集合,例如数据连接器、工作簿、分析规则、playbook、搜寻查询、监视列表、分析器等。

  • 集成包括使用 Microsoft Sentinel 或 Azure Log Analytics API 构建的服务或工具,用于支持 Azure 与现有客户应用程序之间的集成,或者将数据、查询等从这些应用程序迁移到 Microsoft Sentinel。

还可以使用解决方案通过一个步骤安装现成 (OOTB) 的内容包,其中的内容通常立即可供使用。 提供商和合作伙伴可以使用 Sentinel 解决方案,通过提供组合产品、领域或垂直价值来增加其客户的投资价值。

使用内容中心能够以场景驱动的方式集中发现和部署解决方案以及 OOTB 内容。

有关详细信息,请参见:

Microsoft Sentinel 现成的内容和解决方案的类别

Microsoft Sentinel 现成的内容可应用于以下一个或多个类别。 在内容中心,选择要查看的类别以更改显示的内容。 可以在内容中心集中发现社区交付的项,其形式为独立内容或解决方案。

领域类别

类别名称 说明
应用程序 Web、基于服务器、SaaS、数据库、通信或生产力工作负载
云提供商 云服务
遵从性 合规性产品、服务和协议
DevOps 开发运营工具和服务
标识 标识服务提供商和集成
物联网 (IoT) IoT、操作技术 (OT) 设备和基础设施、工业控制服务
IT 操作 IT 管理产品和服务
迁移 迁移支持产品和服务
联网 网络产品、服务和工具
平台 Microsoft Sentinel 通用或框架组件、云基础设施和平台
安全性 - 其他 没有其他明确类别的其他安全产品和服务
安全性 - 威胁情报 威胁情报平台、源、产品和服务
安全性 - 威胁防护 威胁防护、电子邮件保护、扩展检测和响应 (XDR) 以及终结点保护产品与服务
安全性 - 0 日漏洞 针对 Nobelium 等零日漏洞攻击的专门解决方案
安全性 - 自动化 (SOAR) 安全自动化、SOAR(安全运营和自动响应)、安全运营以及事件响应产品和服务。
安全性 - 云安全性 CASB (Cloud Access Service Broker)、CWPP(云工作负载保护平台)、CSPM(云安全态势管理)和其他云安全产品与服务
安全性 - 信息保护 信息保护和文档保护产品与服务
安全性 - 内部威胁 内部威胁以及用户和实体行为分析 (UEBA) 安全产品与服务
安全性 - 网络 安全网络设备、防火墙、NDR(网络检测与响应)、NIDP(网络入侵与检测防御)和网络数据包捕获
安全性 - 漏洞管理 漏洞管理产品和服务
存储 文件存储和文件共享产品与服务
培训和教程 培训、教程和入职资产
用户行为 (UEBA) 用户行为分析产品和服务

行业垂直类别

类别名称 说明
航空 特定于航空行业的产品、服务和内容
教育水平 特定于教育行业的产品、服务和内容
金融 特定于金融行业的产品、服务和内容
医疗保健 特定于医疗保健行业的产品、服务和内容
制造 特定于制造行业的产品、服务和内容
零售 特定于零售行业的产品、服务和内容

支持 Microsoft Sentinel 现成的内容和解决方案的模型

Microsoft 和其他组织都会创作 Microsoft Sentinel 现成内容与解决方案。 每项现成内容或解决方案具有以下支持类型之一:

支持模型 说明
Microsoft 支持 适用于:
- Microsoft 充当数据提供商(在适当的情况下还会充当创作者)的内容/解决方案。
- Microsoft 创作的适用于非 Microsoft 数据源的某些内容/解决方案。

Microsoft 在此支持模型中支持和维护内容/解决方案。
合作伙伴或社区支持由除 Microsoft 以外的任何一方创作的内容/解决方案。
合作伙伴支持 适用于由 Microsoft 以外的各方创作的内容/解决方案。

合作伙伴公司为这些内容/解决方案提供支持或维护。 合作伙伴公司可以是独立软件供应商、托管服务提供商 (MSP/MSSP)、系统集成商 (SI) 或在所选内容/解决方案的 Microsoft Sentinel 页上提供其联系信息的任何组织。

对于合作伙伴支持的解决方案如有任何问题,请联系指定的支持联系人。
社区支持 适用于 Microsoft 或合作伙伴开发人员创作的、未在 Microsoft Sentinel 中列出支持和维护联系人的内容/解决方案。

对于这些解决方案如有疑问或问题,请在 Microsoft Sentinel GitHub 社区提出问题

Microsoft Sentinel 内容和解决方案的内容源

每项内容或解决方案具有以下内容源之一:

内容源 说明
内容中心 支持生命周期管理的内容中心部署的解决方案
独立 由内容中心部署的独立内容,该内容会自动保持最新状态
自定义 你在工作区中自定义的内容或解决方案
库内容 不支持生命周期管理的功能库中的内容。 此内容源即将停用。
存储库 存储库中连接到工作区的内容或解决方案

后续步骤

从 Microsoft Sentinel 工作区中的“内容中心”发现并安装解决方案和独立内容

有关详细信息,请参阅: