Informazioni sui contenuti e le soluzioni di Microsoft Sentinel
I contenuti Microsoft Sentinel sono componenti della soluzione SIEM (Security Information and Event Management) che consentono ai clienti di inserire dati, monitorare, inviare avvisi, analizzare, rispondere e connettersi a prodotti, piattaforme e servizi diversi.
Il contenuto in Microsoft Sentinel include uno dei tipi seguenti:
- I connettori dati forniscono l'inserimento di log da origini diverse in Microsoft Sentinel
- I parser forniscono formattazione/trasformazione dei log in formati Advanced Security Information Model (ASIM), supportando l'utilizzo in vari tipi di contenuto e scenari di Microsoft Sentinel
- Le cartelle di lavoro forniscono monitoraggio, visualizzazione e interattività con i dati in Microsoft Sentinel, evidenziando informazioni dettagliate significative per gli utenti
- Le regole di analisi forniscono avvisi che puntano alle azioni SOC pertinenti tramite eventi imprevisti
- Le query di ricerca vengono usate dai team SOC per cercare in modo proattivo le minacce in Microsoft Sentinel
- I Notebook consentono ai team SOC di usare funzionalità di ricerca avanzate in Jupyter e Azure Notebooks
- Le watchlist supportano l'inserimento di dati specifici per il rilevamento avanzato delle minacce e la riduzione dell'affaticamento degli avvisi
- Playbook e connettori personalizzati di App per la logica di Azure offrono funzionalità per scenari automatizzati di analisi, correzione e risposta in Microsoft Sentinel
Microsoft Sentinel offre questi tipi di contenuto come soluzioni ed elementi autonomi. Solutions sono pacchetti di contenuti di Microsoft Sentinel o integrazioni API di Microsoft Sentinel, che soddisfano uno scenario end-to-end di prodotto, dominio o verticale del settore in Microsoft Sentinel. Sia le soluzioni che gli elementi autonomi sono individuabili e gestiti dall'hub di contenuto.
È possibile personalizzare i contenuti predefiniti (OOTB) per le proprie esigenze oppure creare una soluzione personalizzata con il contenuto da condividere con altri utenti della community. Per altre informazioni, vedere Guida alla compilazione delle soluzioni di Microsoft Sentinel per la creazione e la pubblicazione delle soluzioni.
Importante
Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Individuare e gestire il contenuto di Microsoft Sentinel
Usare l'hub di contenuto di Microsoft Sentinel per individuare e installare in modo centralizzato il contenuto esistente (OOTB).
L'hub del contenuto di Microsoft Sentinel offre funzionalità di individuazione dei prodotti, distribuzione in un unico passaggio e abilitazione di soluzioni end-to-end di prodotti, domini e/o contenuti OOTB verticali in Microsoft Sentinel.
Filtrare per categorie e altri parametri oppure usare la potente ricerca di testo per trovare il contenuto più adatto alle esigenze dell'organizzazione.
L'hub contenuto indica anche il modello di supporto applicato a ogni parte di contenuto, poiché alcuni contenuti vengono gestiti da Microsoft e altri vengono gestiti dai partner o dalla community.
Gestire gli aggiornamenti per il contenuto esistente nell'hub di contenuto. In alternativa, per il contenuto personalizzato, gestire gli aggiornamenti dalla pagina repository. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.
Personalizzare i contenuti predefiniti per le proprie esigenze o creare contenuto personalizzato, tra cui regole di analisi, query di ricerca, notebook, cartelle di lavoro e altro ancora.
Gestire il contenuto personalizzato direttamente nell'area di lavoro di Microsoft Sentinel usando l'API di Microsoft Sentinel o dal proprio repository di controllo del codice sorgente. Per altre informazioni, vedere API di Microsoft Sentinel e Distribuire contenuto personalizzato dal repository.
Perché le soluzioni dell'hub di contenuto?
Le soluzioni di Microsoft Sentinel sono integrazioni in pacchetto che offrono un valore di prodotto end-to-end per uno o più scenari di dominio o verticale nell'hub di contenuto.
L'esperienza con le soluzioni, basata su Azure Marketplace, consente di individuare e distribuire il contenuto desiderato. Per altre informazioni sulla creazione e la pubblicazione di soluzioni in Azure Marketplace, vedere Guida alla compilazione delle soluzioni di Microsoft Sentinel.
I contenuti in pacchetto sono raccolte di uno o più componenti del contenuto di Microsoft Sentinel, ad esempio connettori dati, cartelle di lavoro, regole di analisi, playbook, query di ricerca, watchlist, parser e altro ancora.
Le Integrazioni includono servizi o strumenti creati usando Microsoft Sentinel o le API di Azure Log Analytics che supportano le integrazioni tra Azure e le applicazioni esistenti dei clienti oppure eseguono la migrazione di dati, query e altro ancora, da tali applicazioni a Microsoft Sentinel.
È anche possibile usare soluzioni per installare pacchetti di contenuti predefiniti (OOTB) in un unico passaggio, in cui il contenuto è spesso pronto per l'uso immediato. I provider e i partner usano soluzioni Sentinel per aggiungere valore agli investimenti dei clienti offrendo valore combinato di prodotto, dominio o valore verticale.
Usare l'hub di contenuto per individuare e distribuire centralmente soluzioni e contenuti OOTB in un modo basato su scenari.
Per altre informazioni, vedi:
- Individuare e distribuire centralmente contenuti e soluzioni predefiniti di Microsoft Sentinel
- Catalogo delle soluzioni di Microsoft Sentinel in Azure Marketplace
- Catalogo Microsoft Sentinel
Categorie per i contenuti e le soluzioni predefiniti di Microsoft Sentinel
I contenuti predefiniti di Microsoft Sentinel possono essere applicati con una o più delle categorie seguenti. Nell'hub di contenuto, selezionare le categorie da visualizzare per modificare il contenuto visualizzato. È possibile individuare gli elementi recapitati dalla community centralmente nell'hub di contenuto come contenuto autonomo o soluzioni.
Categorie di dominio
Nome categoria | Descrizione |
---|---|
Applicazione | Carico di lavoro Web, basato su server, SaaS, database, comunicazioni o produttività |
Provider di servizi cloud | Servizio cloud |
Conformità | Prodotti, servizi e protocolli di conformità |
DevOps | Strumenti e servizi per le operazioni di sviluppo |
Identità | Integrazioni e provider di servizi di identità |
internet delle cose (IoT) | Dispositivi IoT, tecnologia operativa (OT) e infrastruttura, servizi di controllo industriale |
Operazioni IT | Prodotti e servizi che gestiscono l'IT |
Migrazione | Prodotti, servizi e abilitazione della migrazione |
Networking | Prodotti, servizi e strumenti di rete |
Piattaforma | Componenti generici o framework di Microsoft Sentinel, infrastruttura cloud e piattaforma |
Sicurezza - Altro | Altri prodotti e servizi di sicurezza senza altre categorie chiare |
Security -intelligence sulle minacce | Piattaforme di intelligence sulle minacce, feed, prodotti e servizi |
Security - Protezione dalle minacce | Protezione dalle minacce, protezione della posta elettronica, rilevamento esteso e risposta (XDR) e prodotti e servizi di Endpoint Protection |
Sicurezza- Vulnerabilità di 0 giorni | Soluzioni specializzate per attacchi di vulnerabilità di zero giorni come Nobelium |
Sicurezza - Automazione (SOAR) | Automazione della sicurezza, SOAR (operazioni di sicurezza e risposte automatizzate), operazioni di sicurezza e prodotti e servizi di risposta agli eventi imprevisti. |
Sicurezza - Sicurezza del cloud | CASB (Cloud Access Service Broker), CWPP (piattaforme di protezione del carico di lavoro cloud), CSPM (gestione del comportamento di sicurezza cloud e altri prodotti e servizi cloud Security) |
Sicurezza - Information Protection | Protezione delle informazioni e prodotti e servizi di protezione dei documenti |
Sicurezza - Minaccia interna | Analisi del comportamento degli utenti e delle entità Insider per prodotti e servizi di sicurezza |
Sicurezza - Rete | Dispositivi di rete di sicurezza, firewall, NDR (rilevamento e risposta di rete), NIDP (prevenzione delle intrusioni e rilevamento della rete) e acquisizione di pacchetti di rete |
Sicurezza - Gestione delle vulnerabilità | Prodotti e servizi di gestione delle vulnerabilità |
Storage | Archivi file e prodotti e servizi di condivisione file |
Formazione ed esercitazioni | Formazione, esercitazioni e asset di inserimento |
Comportamento utente (UEBA) | Prodotti e servizi di analisi del comportamento degli utenti |
Categorie verticali del settore
Nome categoria | Descrizione |
---|---|
Aeronautica | Prodotti, servizi e contenuti specifici per il settore aeronautico |
Percorso formativo | Prodotti, servizi e contenuti specifici per il settore della formazione |
Dati finanziari | Prodotti, servizi e contenuti specifici per il settore della finanza |
Assistenza sanitaria | Prodotti, servizi e contenuti specifici per il settore sanitario |
Produzione | Prodotti, servizi e contenuti specifici per il settore della produzione |
Vendita al dettaglio | Prodotti, servizi e contenuti specifici per il settore della vendita al dettaglio |
Modelli di supporto per i contenuti e le soluzioni predefiniti di Microsoft Sentinel
Sia Microsoft che altre organizzazioni creano soluzioni e contenuti predefiniti di Microsoft Sentinel. Ogni parte del contenuto o della soluzione predefinita include uno dei tipi di supporto seguenti:
Modello di supporto | Descrizione |
---|---|
Supporto di Microsoft | Si applica a: - Contenuti/soluzioni in cui Microsoft è il provider di dati, dove è pertinente e autore. - Alcuni contenuti o soluzioni creati da Microsoft per origini dati non Microsoft. Microsoft supporta e gestisce contenuti/soluzioni in questo modello di supporto in base ai Piani di supporto di Microsoft Azure. Partner o soluzioni di supporto della community create da qualsiasi parte diversa da Microsoft. |
Supporto del partner | Si applica ai contenuti o alle soluzioni create da parti diverse da Microsoft. L'azienda partner fornisce supporto o manutenzione per queste parti di contenuto/soluzioni. La società partner può essere un fornitore di software indipendente, un provider di servizi gestiti (MSP/MSSP), un integratore di sistemi (SI) o qualsiasi organizzazione le cui informazioni di contatto vengono fornite nella pagina di Microsoft Sentinel per il contenuto/soluzioni selezionati. Per eventuali problemi relativi a una soluzione supportata dal partner, contattare il contatto di supporto specificato. |
Supporto della community | Si applica ai contenuti o alle soluzioni create dagli sviluppatori Microsoft o partner senza i contatti elencati per il supporto e la manutenzione in Microsoft Sentinel. Per domande o problemi relativi a queste soluzioni, segnalare un problema nella community di GitHub di Microsoft Sentinel. |
Origini di contenuto per il contenuto e le soluzioni di Microsoft Sentinel
Ogni parte di contenuto o soluzione ha una delle origini di contenuto seguenti:
Origine contenuto | Descrizione |
---|---|
Hub contenuti | Soluzioni distribuite dall'hub contenuto che supportano la gestione del ciclo di vita |
Autonomo | Contenuto autonomo distribuito dall'hub contenuto che viene mantenuto aggiornato automaticamente |
Personalizzazione | Contenuto o soluzioni personalizzate nell'area di lavoro |
Contenuto della raccolta | Contenuto delle raccolte di funzionalità che non supportano la gestione del ciclo di vita. Questa origine contenuto verrà ritirata a breve. Per altre informazioni, vedere modifiche alla centralizzazione del contenuto OOTB. |
Repository | Contenuto o soluzioni da un repository connesso all'area di lavoro |
Passaggi successivi
Individuare e installare soluzioni e contenuti autonomi dall'hub di contenuto nell'area di lavoro di Microsoft Sentinel.
Per altre informazioni, vedi: