你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 内容中心是用于发现和管理现成(内置)内容的集中位置。 可在此处找到按领域或行业分类的端到端产品的打包解决方案。 可以访问 GitHub 存储库和功能边栏选项卡中托管的大量独立贡献。
根据状态、内容类型、支持、提供程序和类别,使用一组一致的筛选功能发现解决方案和独立内容。
一次性或单独在工作区中安装内容。
在列表视图中查看内容,并快速查看有更新内容的相应解决方案。 在独立内容自动更新时,一次性更新解决方案。
管理解决方案,以便安装其内容类型并获取最新更改。
配置独立内容以基于最新模板创建新的活动项。
如果你是想要自行创建解决方案的合作伙伴,请参阅 Microsoft Sentinel 解决方案构建指南,了解解决方案的创作和发布。
重要
Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
先决条件
若要在内容中心安装、更新和删除独立内容或解决方案,你需要在资源组级别拥有“Microsoft Sentinel 参与者”角色。
有关 Microsoft Sentinel 支持的其他角色和权限的详细信息,请参阅 Microsoft Sentinel 中的权限。
发现内容
内容中心提供了查找新内容或管理已安装解决方案的最佳方式。
对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”“内容管理”>“内容中心”。> 对于 Azure 门户中的 Microsoft Sentinel,在“内容管理”下,选择“内容中心”。
“内容中心”页会显示一个可搜索的网格或解决方案和独立内容列表。
搜索所需的解决方案或独立内容项。 从筛选器中选择特定值,或在“搜索”框中输入搜索词。 搜索使用 AI 来支持模糊搜索和近似词汇。
搜索时,请务必按 Enter 键来开始搜索。 搜索结果数量限制为 50 项,包括解决方案和解决方案中找到的内容项。 如果找不到要查找的内容,请尝试优化搜索表达式或使用不同的筛选器。
有关详细信息,请参阅 Microsoft Sentinel 的现成内容和解决方案类别。
在列表视图 (
) 中,从列表中选择解决方案,以查看有关该解决方案的信息及其包含的内容项的类型。在搜索或筛选结果中展开解决方案,以查看其包含的内容项的列表。 侧边的信息窗格显示有关该内容项的详细信息。
也可选择卡片视图 (
) 来查看以网格形式呈现的解决方案。 每张卡片都显示解决方案名称、说明和类别。 选择一张卡片即可在侧边查看有关解决方案的详细信息。
若要使用属于某个解决方案的内容项,必须安装整个解决方案。 如果在列表视图中选择了特定内容项,请在侧边的详细信息窗格中选择“安装解决方案”,以安装相关解决方案。
有关详细信息,请参阅 Microsoft Sentinel 的现成内容和解决方案类别。
安装或更新内容
单独安装独立内容和解决方案,或全部批量安装。 有关批量操作的详细信息,请参阅下一部分中的批量安装和更新内容。
如果部署的解决方案自上次部署后有更新,列表视图在状态列中显示“更新”。 该解决方案还包含在页面顶部的“更新”计数中。
以下示例显示了如何安装单个解决方案。
在“内容中心”中,搜索并选择该解决方案。
在“解决方案详细信息”窗格的右下角,选择“查看详细信息”。
选择“创建”或“更新”。
请在“基本信息”选项卡上,输入订阅、资源组和工作区以部署解决方案。 例如:
选择“下一步”浏览其余选项卡,了解并在某些情况下配置每个内容组件。
各选项卡与该解决方案提供的内容相对应。 不同的解决方案可能有不同类型的内容,因此可能不会在每个解决方案中看到相同的选项卡。
系统可能还会提示你输入非 Microsoft 服务的凭据,以便 Microsoft Sentinel 向系统进行身份验证。 例如,对于 playbook,你可能需要执行系统中规定的响应操作。
在“审阅 + 创建”选项卡中,等待 信息
Validation Passed。选择“创建”或“更新”以部署该解决方案。 还可以选择“下载自动化模板”链接以将解决方案部署为代码。
安装时包括依赖项
某些解决方案具有需要安装的依赖项,包括许多域解决方案和使用适用于 CEF、Syslog 或自定义日志的统一 AMA 连接器的解决方案。
在这些情况下,请选择“安装时包括依赖项”,以确保同时安装所需的数据连接器。 在此处,选择一个或多个依赖项,以便连同原始解决方案一起安装它们。 默认情况下,你选择安装的原始解决方案始终处于选中状态。
如果已安装一个或多个依赖项解决方案,但有更新,请使用“安装/更新”按钮批量安装和更新所有选定的解决方案。 例如:
安装解决方案后,解决方案中的每个内容类型可能需要更多步骤来配置。 有关详细信息,请参阅在解决方案中启用内容项。
批量安装和更新内容
除默认卡片视图外,内容中心还支持列表视图。 选择列表视图以一次性安装多个解决方案和独立内容。 独立内容会自动保持最新状态。 基于从内容中心安装的解决方案或独立内容创建的任何活动内容或自定义内容都将保持不变。
若要批量安装或更新项,请更改为列表视图。
搜索或筛选以查找要批量安装或更新的内容。
选中要安装或更新的每个解决方案或独立内容的复选框。
选择“安装/更新”按钮。
如果所选的解决方案或独立内容已安装或更新,则不会对该项执行任何操作。 这不会干扰其他项的更新和安装。
对安装的每个解决方案选择“管理”。 解决方案中的内容类型可能需要更多信息才能进行配置。 有关详细信息,请参阅在解决方案中启用内容项。
在解决方案中启用内容项
集中管理内容中心中已安装解决方案的内容项。
在内容中心,选择已安装的 2.0.0 版本或更高版本的解决方案。
在解决方案详细信息页上,选择“管理”。
查看内容项列表。
选择一个内容项以开始使用。
管理每个内容类型
以下各节提供了有关如何在管理解决方案时处理不同内容类型的一些提示。
数据连接器
若要连接数据连接器,请完成配置步骤。
选择“打开连接器页面”。
完成数据连接器配置步骤。
配置数据连接器并检测到日志后,状态更改为“已连接”。
分析规则
从模板创建规则或编辑现有规则。
查看分析模板库中的模板。
如果尚未使用模板,请选择“打开”“创建规则”,然后按照步骤启用分析规则>。
创建规则后,从模板创建的活动规则数会显示在“已创建内容”列中。
选择活动规则链接以编辑现有规则。 例如,下图中的活动规则链接位于“已创建内容”下,并显示 2 个项。
搜寻查询
运行提供的搜寻查询或对其进行自定义。
若要立即开始搜索,请从详细信息页面中选择“运行查询”,以便快速获取结果。
若要自定义搜寻查询,请选择“内容名称”列中的链接。
在搜寻库中,可通过转到省略号菜单来创建只读的搜寻查询模板的克隆。 以这种方式创建的搜寻查询在内容中心的“已创建内容”列中显示为项。
工作簿
若要自定义从模板创建的工作簿,请创建工作簿的实例。
选择“查看模板”方可打开工作簿并查看可视化效果。
选择“保存”以创建工作簿模板的实例。
通过选择“查看已保存的工作簿”来查看已保存的可自定义工作簿。
在内容中心,选择“创建内容”列中的“1 项”链接来管理工作簿。
解析 器
安装解决方案时,其中包含的任何分析程序都将作为工作区函数添加到 Log Analytics 中。
选择“加载函数代码”方可打开 Log Analytics,并查看或运行函数代码。
选择“在编辑器中使用”以打开 Log Analytics,其中分析程序名已准备好添加到自定义查询中。
演练手册
根据模板创建 playbook。
选择 playbook 的“内容名称”链接。
选择模板,并选择“创建 playbook”。
创建 playbook 后,活动 playbook 显示在“已创建内容”列中。
选择活动 playbook“1 项”链接来管理 playbook。
查找内容的支持模型
每个解决方案和独立内容项都会在其细节窗格的“支持”框中说明其支持模型的信息,其中列出了 Microsoft 或合作伙伴的名称。 例如:
联系支持人员时,可能需要有关解决方案的其他详细信息,例如发布者、提供商和计划 ID 值。 在“使用情况信息和支持”选项卡中的详细信息页上查找此信息。
后续步骤
在本文档中,你了解了如何查找和部署 Microsoft Sentinel 的内置解决方案和独立内容。
- 详细了解 Microsoft Sentinel 解决方案。
- 查看 Azure 市场中完整 Microsoft Sentinel 解决方案目录。
- 在 Microsoft Sentinel 内容中心目录中查找特定于域的解决方案。
- 删除已安装的 Microsoft Sentinel 现成内容和解决方案。
许多解决方案包括需要配置的数据连接器,以便开始将数据引入到 Microsoft Sentinel 中。 每个数据连接器有其自己的一组要求,详情请参见 Microsoft Sentinel 的数据连接器页。
有关详细信息,请参阅连接到数据源。