Změny centralizace obsahu od microsoft Sentinelu
Centrum obsahu Služby Microsoft Sentinel umožňuje v jediném kroku zjišťování a instalaci předem nainstalovaného obsahu a řešení (OOTB) na vyžádání. Dříve existovaly některé z těchto obsahů OOTB pouze v různých částech galerie služby Microsoft Sentinel. Teď jsou všechny následující šablony obsahu galerie k dispozici v centru obsahu jako samostatné položky nebo jako součást zabalených řešení:
- Konektory dat
- Šablony analytických pravidel
- Proaktivní dotazy
- Šablony playbooků
- Šablony sešitů
Změny centra obsahu
Abychom mohli centralizovat veškerý obsah OOTB, vyřadili jsme šablony obsahu pouze z galerie. Starší šablony obsahu galerie se už neaktualizují konzistentně a centrum obsahu je místo, kde obsah OOTB zůstává aktuální. Centrum obsahu také poskytuje aktualizované pracovní postupy pro řešení a automatické aktualizace samostatného obsahu.
Abychom tento přechod usnadnili, publikovali jsme centrální nástroj pro obnovení vyřazených šablon IN USE z odpovídajících řešení centra obsahu.
Obnovení vyřazených šablon IN USE pomocí centrálního nástroje
Teď, když jsou změny centralizace centra obsahu dokončené, tady je přehled o tom, jak dokončit proces obnovení centrálního nástroje.
Výběrem odkazu v banneru s upozorněním obnovíte vyřazené šablony obsahu pouze z galerie.
Tento snímek obrazovky ukazuje příklad nápisu s upozorněním nalezeným v galerii Sešity .
Vyberte odkaz a pečlivě si přečtěte stránku.
Vyberte Pokračovat a zkontrolujte seznam obsahu, který nástroj vygeneruje.
Výběrem možnosti Dokončit centralizaci spusťte instalaci. Výběr je opravený a nelze ho změnit.
Změna stránky datového konektoru
Všechny datové konektory jsou teď součástí řešení. Dříve jsme pro zvýšení úrovně vizualizací řídicích panelů (nyní označovaných jako sešity) a poskytování ukázkových dotazů KQL zahrnuli několik těchto položek na kartě Další kroky na stránce datového konektoru. Část Další kroky stránky datového konektoru jsme zastaralou ve prospěch chování nového obsahu řešení, ve kterém se všechny komponenty řešení spravují společně s datovým konektorem.
Klíčem k aktualizovanému chování je spuštění v centru obsahu. Pokud chcete porovnat předchozí chování s novým prostředím, projděte si datový konektor aktivit Azure. Po instalaci řešení z centra obsahu a výběru možnosti Spravovat je k dispozici pro kontrolu celé řešení. Pokud chcete vizualizaci datového konektoru aktivit Azure, zobrazte šablonu sešitu. Pokud chcete zobrazit dotazy KQL, začněte s tabulkou dat. U pokročilých dotazů se podívejte na analytická pravidla a dotazy proaktivního vyhledávání.
Další informace o chování nového obsahu řešení naleznete v tématu Zjišťování a nasazení obsahu OOTB.
Pokud pro datový konektor třetí strany, který hledáte, existoval konkrétní ukázkový dotaz, stále je publikujeme v indexu Všechny konektory . Tady jsou například ukázkové dotazy pro konektor Jamf Protect.
Změny GitHubu v Microsoft Sentinelu
Microsoft Sentinel má oficiální úložiště GitHubu pro příspěvky komunity prověřené Microsoftem a komunitou. Je zdrojem většiny položek obsahu v centru obsahu.
Kvůli konzistentnímu zjišťování tohoto obsahu se změny centralizace obsahu OOTB už rozšířily do úložiště Microsoft Sentinel Na GitHubu:
- Veškerý obsah OOTB zabalený z řešení centra obsahu je teď uložený ve složce Řešení úložiště GitHub.
- Všechny samostatné položky obsahu OOTB zůstanou v příslušných umístěních.
Tyto změny v centru obsahu a úložišti Microsoft Sentinel Na GitHubu dokončí cestu k centralizaci obsahu Služby Microsoft Sentinel.
Kdy se tato změna připravuje?
Byly vydány změny centralizace! Změny GitHubu v Microsoft Sentinelu už proběhly. Samostatný obsah je k dispozici ve stávajících složkách GitHubu a obsah řešení se přesunul do složky Řešení .
Změna na kartu Další kroky již byla dokončena.
Rozsah změn
Tato změna je vymezena pouze na typ obsahu galerie šablon. Všechny tyto stejné šablony a další obsah OOTB jsou k dispozici v centru obsahu jako řešení nebo samostatný obsah.
V případě úložiště GitHub pro Microsoft Sentinel je obsah OOTB zabalený v řešeních v centru obsahu teď uvedený pouze ve složce Řešení úložiště GitHub. Druhý existující obsah GitHubu je vymezený na následující složky a obsahuje pouze samostatné položky obsahu. Obsah ve zbývajícíchsch
- Složka Data Připojení ors
- Složka Detekce (analytická pravidla)
- Složka Dotazy proaktivního vyhledávání
- Složka Analyzátory
- Složka Playbooků
- Složka Sešity
Co se nemění?
Tato změna nemá vliv na aktivní ani vlastní položky (vytvořené ze šablon nebo jinak). Konkrétně tato změna nemá vliv na následující položky:
- Datové konektory se stavem = Připojení.
- Pravidla upozornění nebo detekce (povolená nebo zakázaná) na kartě Aktivní pravidla v galerii analýz
- Uložené sešity na kartě Moje sešity v galerii sešitů
- Klonovaný obsah nebo Vlastní zdroj = obsahu v galerii proaktivního vyhledávání
- Aktivní playbooky (povolené nebo zakázané) na kartě Aktivní playbooky v galerii automatizace
Tato změna také nemá vliv na žádné šablony obsahu OOTB nainstalované z centra obsahu (identifikovatelné jako centrum obsahu zdroje = obsahu).
Co se mění?
Všechny galerie šablon teď zobrazují banner s upozorněním v produktu. Tento banner obsahuje odkaz na nástroj, který se spustí na portálu Microsoft Sentinel. Aktivace nástroje spustí prostředí s asistencí, které obnoví šablony obsahu pro vyřazené šablony IN USE z centra obsahu.
Tento nástroj se musí spouštět jenom jednou pro každý pracovní prostor, proto se ujistěte, že plánujete s vaší organizací. Po úspěšném spuštění nástroje informační zpráva zmizí z galerií šablon daného pracovního prostoru.
Následující tabulka uvádí konkrétní dopady na šablony obsahu pro každou z těchto galerií. Očekáváme, že teď jsou tyto změny živé, když je centralizace obsahu OOTB aktivní.
Typ obsahu | Dopad |
---|---|
Datové konektory | Šablony identifikovatelné jako obsah galerie zdrojů = obsahu a stav = nepřipojené se už nebudou zobrazovat v galerii datových konektorů. |
Analytické nástroje | Šablony identifikovatelné jako obsah galerie zdrojových názvů = se už nebudou zobrazovat v galerii analýz. |
Lov | Šablony s obsahem galerie zdrojů = obsahu se už nebudou zobrazovat v galerii proaktivního vyhledávání. |
Scénáře | Šablony identifikovatelné jako obsah galerie zdrojových názvů = se už nebudou zobrazovat v galerii automatizačních playbooků. |
Workbooks | Šablony s obsahem galerie zdrojů = obsahu se už nebudou zobrazovat v galerii sešitů. |
Tady je příklad analytického pravidla před a po změně centralizace a spuštění nástroje:
Aktivní analytické pravidlo se vůbec nezmění. Je založená na šabloně analytického pravidla, která bude vyřazena.
Tento snímek obrazovky ukazuje šablonu analytického pravidla, která bude vyřazena.
Po spuštění nástroje pro obnovení šablony analytického pravidla se zdroj změní na řešení, ze kterého se obnoví.
Je potřeba provést akci
- Podle potřeby nainstalujte nový obsah OOTB z centra obsahu a aktualizujte řešení, aby měly nejnovější verze šablon.
- Pro existující šablony obsahu galerie, které se používají, získejte budoucí aktualizace instalací řešení nebo samostatných položek obsahu z centra obsahu. Obsah galerie v galeriích funkcí může být zastaralý.
- Pokud máte aplikace nebo procesy, které přímo získávají obsah OOTB z úložiště GitHub služby Microsoft Sentinel, aktualizujte umístění tak, aby obsahovala obsah OOTB ze složky Řešení kromě existujících složek obsahu.
- Naplánujte si s vaší organizací, kdo nástroj spustí, a kdy se zobrazí upozornění a změny jsou živé. Nástroj musí běžet jednou v pracovním prostoru, aby se obnovily všechny vyřazené šablony IN USE z centra obsahu.
- Další podrobnosti, které se můžou vztahovat na vaše prostředí, najdete v následujících nejčastějších dotazech.
Nejčastější dotazy k centralizaci obsahu
Ovlivní tato změna generování výstrah SOC nebo generování a správu incidentů?
Č. Nemá žádný vliv na aktivní pravidla upozornění ani detekce, aktivní playbooky, klonované dotazy proaktivního vyhledávání ani uložené sešity. Změna centralizace obsahu OOTB neovlivní vaše aktuální procesy generování a správy incidentů.
Existují nějaké výjimky pro obsah galerie?
Ano. Z této změny jsou vyloučeny následující typy šablon analytických pravidel:
- Šablony pravidel anomálií
- Šablony fúzních pravidel
- Šablony pravidel analýzy chování ML (machine learning)
- Šablony pravidel zabezpečení Microsoftu (vytváření incidentů)
- Šablony pravidel analýzy hrozeb
Ovlivní tato změna některá z těchto rozhraní API?
Ano. V současné době jsou Get
jedinými voláními rozhraní REST API služby Microsoft Sentinel, která existují pro správu šablon obsahu, a List
operace pro šablony pravidel upozornění. Tyto operace pouze šablony obsahu galerie povrchů a nebudou aktualizovány. Další informace o těchtooperacích
Brzy budou k dispozici nové operace rozhraní REST API v centru obsahu, které umožní obecnější scénáře správy obsahu OOTB. Tato aktualizace rozhraní API bude zahrnovat operace pro stejné typy obsahu, které jsou vymezeny ve změnách centralizace (datové konektory, šablony playbooků, šablony sešitů, šablony analytických pravidel, dotazy proaktivního vyhledávání). V plánu je také mechanismus aktualizace šablon analytických pravidel nainstalovaných v pracovním prostoru.
Potřeba akce: Naplánujte aktualizaci aplikací a procesů tak, aby používaly nové operace rozhraní API pro správu obsahu OOTB v centru obsahu, pokud jsou k dispozici. Původně jsme to vyjádřili, bylo by k dispozici 2. čtvrtletí 2023, ale ještě nejsou připravené.
Jak centrální nástroj identifikuje šablony obsahu OOTB, které se používají?
Nástroj sestaví seznam řešení založených na dvou kritériích: datové konektory se stavem = Připojení a šablony playbooku IN USE. Jakmile nástroj sestaví navržený seznam řešení, zobrazí se seznam ke schválení. Pokud je seznam schválen, nástroj nainstaluje všechna tato řešení. Vzhledem k tomu, že se obsah OOTB obnoví na základě řešení, můžete získat více šablon, než skutečně používáte.
Tento centrální nástroj je nejlepším úsilím, aby se šablony obsahu IN USE OOTB obnovily z centra obsahu. Vynechaný obsah OOTB můžete nainstalovat přímo z centra obsahu.
Co když k připojení zdrojů dat v pracovním prostoru Microsoft Sentinelu používám rozhraní API?
Pokud datové připojení rozhraní API odpovídá datovému typu datového konektoru, zobrazí se v galerii datových konektorů jako Stav = Připojení. Jakmile se centralizace změní do provozu, musí se konkrétní datový konektor nainstalovat z příslušného řešení, aby se získalo stejné chování.
Potřeba akce: Před připojením k rozhraním API pro příjem dat naplánujte aktualizaci procesů nebo nástrojů pro nasazení datového konektoru, aby se nainstalovaly z řešení centra obsahu. Operátor ROZHRANÍ REST API pro instalaci řešení bude k dispozici v Q2 2023 s rozhraními API pro správu obsahu OOTB.
Co když pracujem s obsahem pomocí funkce úložišť v Microsoft Sentinelu?
Úložiště konkrétně nasazují vlastní nebo aktivní obsah v Microsoft Sentinelu. Změny centralizace obsahu OOTB neovlivní obsah nasazený prostřednictvím funkce úložišť.
Má to vliv na skupiny nasazení ve Správci pracovních prostorů?
Stejně jako úložiště nasadí správce pracovních prostorů jenom vlastní nebo aktivní obsah, takže změny centralizace obsahu OOTB neovlivní ani obsah nasazený prostřednictvím správce pracovních prostorů.
Další kroky
Podívejte se na tyto další zdroje informací o obsahu OOTB a centru obsahu: