Scoprire e gestire contenuti predefiniti di Microsoft Sentinel

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

L'hub del contenuto di Microsoft Sentinel è la posizione centralizzata per individuare e gestire il contenuto pronto all’uso (integrato). Sono disponibili soluzioni in pacchetto per prodotti end-to-end per dominio o settore. È possibile accedere al numero elevato di contributi autonomi ospitati nel repository GitHub e nei pannelli delle funzionalità.

  • Individuare soluzioni e contenuti autonomi con un set coerente di funzionalità di filtro in base allo stato, al tipo di contenuto, al supporto, al provider e alla categoria.

  • Installare il contenuto nell'area di lavoro contemporaneamente o singolarmente.

  • Visualizzare il contenuto nella visualizzazione elenco e visualizzare rapidamente le soluzioni con aggiornamenti. Aggiornare tutte le soluzioni contemporaneamente mentre gli aggiornamenti del contenuto autonomo vengono aggiornati automaticamente.

  • Gestire una soluzione per installare i tipi di contenuto e ottenere le modifiche più recenti.

  • Configurare il contenuto autonomo per creare nuovi elementi attivi in base al modello più aggiornato.

Se si è un partner che vuole creare una soluzione personalizzata, vedere Guida alla compilazione di soluzioni di Microsoft Sentinel per la creazione e la pubblicazione di soluzioni.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'hub dei contenuti, è necessario il ruolo di Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.

Per altre informazioni su altri ruoli e autorizzazioni supportati per Microsoft Sentinel, vedere Autorizzazioni in Microsoft Sentinel.

Individuare contenuto

L'hub del contenuto offre il modo migliore per trovare nuovi contenuti o gestire le soluzioni già installate.

  1. Per Microsoft Sentinel, nel portale di Azure, in Gestione dei contenuti, selezionare Hub dei contenuti.
    Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione dei contenuti>Hub contenuti.

    La pagina Hub di contenuto visualizza una griglia ricercabile o un elenco di soluzioni e contenuto autonomo.

  2. Filtrare l'elenco visualizzato selezionando valori specifici dai filtri oppure immettendo qualsiasi parte di un nome di contenuto o una descrizione nel campo Cerca.

    Per altre informazioni, vedere Categorie per i contenuti e le soluzioni predefiniti di Microsoft Sentinel.

  3. Selezionare la Visualizzazione scheda per visualizzare altre informazioni su una soluzione.

    Ogni elemento di contenuto mostra le categorie applicabili e le soluzioni mostrano i tipi di contenuto inclusi. Nell'immagine seguente, ad esempio, la soluzione Cisco Umbrella elenca una delle relative categorie come Security - Cloud Security e indica che include un connettore dati, regole di analisi, query di ricerca, playbook e altro ancora.

Installare o aggiornare il contenuto

Installare contenuti e soluzioni autonomi singolarmente o tutti insieme in blocco. Per altre informazioni sulle operazioni bulk, vedere installare e aggiornare il contenuto in blocco nella sezione successiva.

Se una soluzione distribuita ha aggiornamenti dall'ultima distribuzione, la visualizzazione elenco mostra Aggiorna nella colonna di stato. La soluzione è inclusa anche nel conteggio Aggiornamenti nella parte superiore della pagina.

Ecco un esempio che mostra l'installazione di una singola soluzione.

  1. In Hub di contenuto, cercare e selezionare la soluzione.

  2. Nel riquadro dei dettagli delle soluzioni selezionare Visualizza dettagli in basso a destra.

  3. Selezionare Crea o Aggiorna.

  4. Nella scheda Informazioni di base immettere la sottoscrizione, il gruppo di risorse e l'area di lavoro per distribuire la soluzione. Ad esempio:

    Screenshot di un'installazione guidata della soluzione, che mostra la scheda Informazioni di base.

  5. Selezionare Avanti per esaminare le schede rimanenti per informazioni e, in alcuni casi, configurare ognuno dei componenti del contenuto.

    Le schede corrispondono al contenuto offerto dalla soluzione. Le diverse soluzioni potrebbero avere tipi diversi di contenuto, pertanto è possibile che non vengano visualizzate le stesse schede in ogni soluzione.

    Potrebbe anche essere richiesto di immettere le credenziali a un servizio non Microsoft in modo che Microsoft Sentinel possa eseguire l'autenticazione nei sistemi. Ad esempio, con i playbook, è possibile eseguire azioni di risposta come previsto nel sistema.

  6. Nella scheda Rivedi + crea attendere il messaggio Validation Passed.

  7. Selezionare Crea o Aggiorna per distribuire la soluzione. È anche possibile selezionare il collegamento Scarica un modello per l'automazione per distribuire la soluzione come codice.

Eseguire l'installazione con le dipendenze

Alcune soluzioni hanno dipendenze da installare, tra cui molte soluzioni di dominio e soluzioni che usano i connettori AMA unificati per CEF, Syslogo log personalizzati.

In questi casi, selezionare Installa con dipendenze per assicurarsi che siano installati anche i connettori dati necessari. Da questa posizione, selezionare una o più dipendenze per installarle insieme alla soluzione originale. La soluzione originale che si è scelto di installare è sempre selezionata per impostazione predefinita.

Se una o più soluzioni di dipendenza sono già installate, ma dispongono di aggiornamenti, usare il pulsante Installa/Aggiorna per installare e aggiornare tutte le soluzioni selezionate in blocco. Ad esempio:

Screenshot dell'installazione di più dipendenze della soluzione in blocco.

Dopo aver installato una soluzione, ogni tipo di contenuto all'interno della soluzione potrebbe richiedere altri passaggi di configurazione. Per altre informazioni, vedere Abilita gli elementi di contenuto in una soluzione.

Installazione e aggiornamento bulk del contenuto

L'hub di contenuto supporta una visualizzazione elenco oltre alla visualizzazione scheda predefinita. Selezionare la visualizzazione elenco per installare più soluzioni e contenuto autonomo contemporaneamente. Il contenuto autonomo viene mantenuto aggiornato automaticamente. Qualsiasi contenuto attivo o personalizzato creato in base alle soluzioni o al contenuto autonomo installato dall'hub di contenuto rimane invariato.

  1. Per installare o aggiornare gli elementi in blocco, passare alla visualizzazione elenco.

  2. Cercare o filtrare per trovare il contenuto da installare o aggiornare in blocco.

  3. Selezionare la casella di controllo per ogni soluzione o contenuto autonomo che si vuole installare o aggiornare.

  4. Selezionare il pulsante Installa/Aggiorna. Screenshot della visualizzazione elenco delle soluzioni con più soluzioni selezionate e in corso per l'installazione.

    Se una soluzione o un contenuto autonomo selezionato è già stato installato o aggiornato, non viene eseguita alcuna azione su tale elemento. Non interferisce con l'aggiornamento e l'installazione degli altri elementi.

  5. Selezionare Gestisci per ogni soluzione installata. I tipi di contenuto all'interno della soluzione potrebbero richiedere altre informazioni da configurare. Per altre informazioni, vedere Abilita gli elementi di contenuto in una soluzione.

Abilitare gli elementi di contenuto in una soluzione

Gestire centralmente gli elementi di contenuto per le soluzioni installate dall'hub di contenuto.

  1. Nell'hub di contenuto selezionare una soluzione installata in cui la versione è 2.0.0 o successiva.

  2. Nella pagina dei dettagli delle soluzioni selezionare Gestisci.

    Screenshot del pulsante Gestisci nella pagina dei dettagli della soluzione hub di contenuto Attività di Azure.

  3. Esaminare l'elenco di elementi di contenuto.

    Screenshot della descrizione della soluzione e dell'elenco di elementi di contenuto per la soluzione Attività di Azure.

  4. Selezionare un elemento di contenuto per iniziare.

Gestire ogni tipo di contenuto

Le sezioni seguenti forniscono alcuni suggerimenti su come usare i diversi tipi di contenuto durante la gestione di una soluzione.

Connettore dati

Per connettere un connettore dati, completare i passaggi di configurazione.

  1. Selezionare Apri la pagina del connettore.

  2. Completare i passaggi di configurazione del connettore dati.

    Screenshot dell'elemento del contenuto del connettore dati per la soluzione Attività di Azure in cui lo stato è disconnesso.

    Dopo aver configurato il connettore dati e i log vengono rilevati, lo stato cambia in Connesso.

Regola di analisi

Creare una regola da un modello o modificare una regola esistente.

  1. Visualizzare il modello nella raccolta modelli di analisi.

  2. Se il modello non è ancora usato, selezionare Apri>Crea regola e seguire la procedura per abilitare la regola di analisi.

    Dopo aver creato una regola, il numero di regole attive create dal modello viene visualizzato nella colonna Contenuto creato.

  3. Selezionare il collegamento delle regole attive per modificare la regola esistente. Ad esempio, il collegamento alla regola attiva nell'immagine seguente si trova in Contenuto creato e mostra 2 elementi.

    Screenshot dell'elemento del contenuto della regola di analisi nella soluzione per l'Attività di Azure.

Query di ricerca

Eseguire la query di ricerca fornita o personalizzarla.

  1. Per iniziare subito la ricerca, selezionare Esegui query nella pagina dei dettagli per ottenere risultati rapidi.

    Screenshot dell'elemento del contenuto della query di ricerca clonato nella soluzione per l'Attività di Azure.

  2. Per personalizzare la query di ricerca, selezionare il collegamento nella colonna Nome contenuto.

    Dalla raccolta di ricerca è possibile creare un clone del modello di query di ricerca di sola lettura passando al menu con i puntini di sospensione. Le query di ricerca create in questo modo vengono visualizzate come elementi nella colonna Contenuto creato dell’hub di contenuto.

Cartella di lavoro

Per personalizzare una cartella di lavoro creata da un modello, creare un'istanza di una cartella di lavoro.

  1. Selezionare Visualizza modello per aprire la cartella di lavoro e visualizzare le visualizzazioni.

  2. Selezionare Salva per creare un'istanza del modello di cartella di lavoro.

  3. Visualizzare la cartella di lavoro personalizzabile salvata selezionando Visualizza cartella di lavoro salvata.

  4. Nell'hub di contenuto selezionare il collegamento 1 elemento nella colonna Contenuto creato per gestire la cartella di lavoro.

    Screenshot dell'elemento della cartella di lavoro salvata nella soluzione per l'Attività di Azure.

Parser

Quando viene installata una soluzione, tutti i parser inclusi vengono aggiunti come funzioni dell'area di lavoro in Log Analytics.

  1. Selezionare Carica il codice della funzione per aprire Log Analytics e visualizzare o eseguire il codice della funzione.

  2. Selezionare Usa nell'editor per aprire Log Analytics con il nome del parser pronto per l'aggiunta alla query personalizzata.

    Screenshot del tipo di contenuto del parser in una soluzione.

Playbook

Creare un playbook da un modello.

  1. Selezionare il collegamento Nome contenuto del playbook.

  2. Scegliere il modello e selezionare Crea playbook.

  3. Dopo aver creato il playbook, il playbook attivo viene visualizzato nella colonna Contenuto creato.

  4. Selezionare il link 1 elemento del playbook attivo per gestire il playbook.

    Screenshot del tipo di contenuto del playbook in una soluzione.

Trovare il modello di supporto per il contenuto

Ogni soluzione e elemento di contenuto autonomo illustra il modello di supporto nel riquadro dei dettagli, nella casella Supporto, in cui è elencato Microsoft o il nome di un partner. Ad esempio:

Screenshot della posizione in cui è possibile trovare il modello di supporto per la soluzione.

Quando si contatta il supporto tecnico, potrebbero essere necessari altri dettagli sulla soluzione, ad esempio un server di pubblicazione, un provider e valori ID piano. Trovare queste informazioni nella pagina dei dettagli nella scheda Informazioni sull'utilizzo e supporto.

Screenshot dei dettagli di utilizzo e supporto per una soluzione.

Passaggi successivi

In questo documento si è appreso come trovare e distribuire soluzioni predefinite e contenuto autonomo per Microsoft Sentinel.

Molte soluzioni includono connettori dati che è necessario configurare in modo da poter iniziare a inserire i dati in Microsoft Sentinel. Ogni connettore dati ha un proprio set di requisiti che sono descritti in dettaglio nella pagina del connettore dati in Microsoft Sentinel.

Per altre informazioni, vedere Connettere l'origine dati.