发现和管理 Microsoft Sentinel 现成内容

  • 项目

Microsoft Sentinel 内容中心是用于发现和管理现成(内置)内容的集中位置。 可在此处找到按领域或行业分类的端到端产品的打包解决方案。 可以访问 GitHub 存储库和功能边栏选项卡中托管的大量独立贡献。

  • 根据状态、内容类型、支持、提供程序和类别,使用一组一致的筛选功能发现解决方案和独立内容。

  • 一次性或单独在工作区中安装内容。

  • 在列表视图中查看内容,并快速查看有更新内容的相应解决方案。 在独立内容自动更新时,一次性更新解决方案。

  • 管理解决方案,以便安装其内容类型并获取最新更改。

  • 配置独立内容以基于最新模板创建新的活动项。

如果你是想要自行创建解决方案的合作伙伴,请参阅 Microsoft Sentinel 解决方案构建指南,了解解决方案的创作和发布。

先决条件

若要在内容中心安装、更新和删除独立内容或解决方案,你需要在资源组级别拥有“Microsoft Sentinel 参与者”角色。

有关 Microsoft Sentinel 支持的其他角色和权限的详细信息,请参阅 Microsoft Sentinel 中的权限

发现内容

内容中心提供了查找新内容或管理已安装解决方案的最佳方式。

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“内容管理”下,选择“内容中心”

    “内容中心”页会显示一个可搜索的网格或解决方案和独立内容列表。

  2. 通过从筛选器中选择特定值或在“搜索”字段中输入内容名称或说明的任何部分,来筛选显示的列表。

    有关详细信息,请参阅 Microsoft Sentinel 的现成内容和解决方案类别

  3. 选择“卡片视图”以查看有关解决方案的详细信息

    每个内容项都会显示应用于该解决方案的类别,以及显示所含内容类型的解决方案。

    Screenshot of the Microsoft Sentinel content hub.

安装或更新内容

单独安装独立内容和解决方案,或全部批量安装。 有关批量操作的详细信息,请参阅下一部分中的批量安装和更新内容

如果部署的解决方案自上次部署后有更新,列表视图在状态列中显示“更新”。 该解决方案还包含在页面顶部的“更新”计数中

以下示例显示了如何安装单个解决方案。

批量安装和更新内容

除默认卡片视图外,内容中心还支持列表视图。 选择列表视图以一次性安装多个解决方案和独立内容。 独立内容会自动保持最新状态。 基于从内容中心安装的解决方案或独立内容创建的任何活动内容或自定义内容都将保持不变。

  1. 若要批量安装或更新项,请更改为列表视图。

  2. 搜索或筛选以查找要批量安装或更新的内容。

  3. 选中要安装或更新的每个解决方案或独立内容的复选框。

  4. 选择“安装/更新”按钮。 Screenshot of solutions list view with multiple solutions selected and in progress for installation.

    如果所选的解决方案或独立内容已安装或更新,则不会对该项执行任何操作。 这不会干扰其他项的更新和安装。

  5. 对安装的每个解决方案选择“管理”。 解决方案中的内容类型可能需要更多信息才能进行配置。 有关详细信息,请参阅在解决方案中启用内容项

在解决方案中启用内容项

集中管理内容中心中已安装解决方案的内容项。

  1. 在内容中心,选择已安装的 2.0.0 版本或更高版本的解决方案。

  2. 在解决方案详细信息页上,选择“管理”。

    Screenshot of manage button on details page of the Azure Activity content hub solution.

  3. 查看内容项列表。

    Screenshot of solution description and list of content items for Azure Activity solution.

  4. 选择一个内容项以开始使用。

管理每个内容类型

以下各节提供了有关如何在管理解决方案时处理不同内容类型的一些提示。

数据连接器

若要连接数据连接器,请完成配置步骤。

  1. 选择“打开连接器页面”。

  2. 完成数据连接器配置步骤。

    Screenshot of data connector content item for Azure Activity solution where status is disconnected.

    配置数据连接器并检测到日志后,状态更改为“已连接”

分析规则

从模板创建规则或编辑现有规则。

  1. 查看分析模板库中的模板。

  2. 如果尚未使用模板,请选择“打开”>“创建规则”,然后按照步骤启用分析规则

    创建规则后,从模板创建的活动规则数会显示在“已创建内容”列中

  3. 选择活动规则链接以编辑现有规则。 例如,下图中的活动规则链接位于“已创建内容”下,并显示 2 个项

    Screenshot of analytics rule content item in solution for Azure Activity.

搜寻查询

运行提供的搜寻查询或对其进行自定义。

  1. 若要立即开始搜索,请从详细信息页面中选择“运行查询”,以便快速获取结果。

    Screenshot of cloned hunting query content item in solution for Azure Activity.

  2. 若要自定义搜寻查询,请选择“内容名称”列中的链接

    在搜寻库中,可通过转到省略号菜单来创建只读的搜寻查询模板的克隆。 以这种方式创建的搜寻查询在内容中心的“已创建内容”列中显示为项

工作簿

若要自定义从模板创建的工作簿,请创建工作簿的实例。

  1. 选择“查看模板”方可打开工作簿并查看可视化效果。

  2. 选择“保存”以创建工作簿模板的实例

  3. 通过选择“查看已保存的工作簿”来查看已保存的可自定义工作簿。

  4. 在内容中心,选择“创建内容”列中的“1 项”链接来管理工作簿。

    Screenshot of saved workbook item in solution for Azure Activity.

演练手册

根据模板创建 playbook。

  1. 选择 playbook 的“内容名称”链接

  2. 选择模板,并选择“创建 playbook”

  3. 创建 playbook 后,活动 playbook 显示在“已创建内容”列中

  4. 选择活动 playbook“1 项”链接来管理 playbook

    Screenshot of playbook type content type in a solution.

查找内容的支持模型

每个解决方案和独立内容项都会在其细节窗格的“支持”框中说明其支持模型的信息,其中列出了 Microsoft 或合作伙伴的名称。 例如:

Screenshot of where you can find your support model for your solution.

联系支持人员时,可能需要有关解决方案的其他详细信息,例如发布者、提供商和计划 ID 值。 在“使用情况信息和支持”选项卡中的详细信息页上查找此信息

Screenshot of usage and support details for a solution.

后续步骤

在本文档中,你了解了如何查找和部署 Microsoft Sentinel 的内置解决方案和独立内容。

许多解决方案包括需要配置的数据连接器,以便开始将数据引入到 Microsoft Sentinel 中。 每个数据连接器有其自己的一组要求,详情请参见 Microsoft Sentinel 的数据连接器页。

有关详细信息,请参阅连接到数据源