Alterações de centralização de conteúdo pronto para uso do Microsoft Sentinel
O hub de conteúdo do Microsoft Sentinel permite a descoberta e a instalação sob demanda de conteúdo pronto para uso (OOTB) e soluções em uma única etapa. Anteriormente, parte desse conteúdo OOTB existia apenas em várias seções da galeria do Microsoft Sentinel. Agora, todos os seguintes modelos de conteúdo da galeria estão disponíveis no hub de conteúdo como itens autônomos ou parte de soluções empacotadas:
- Conectores de dados
- Modelos de regra de análise
- Consultas de busca
- Modelos de guias estratégicos
- Modelos de pasta de trabalho
Alterações no Hub de conteúdo
Para centralizar todo o conteúdo do OOTB, retiramos os modelos de conteúdo somente para galeria. Os modelos de conteúdo da galeria herdados não estão mais sendo atualizados de forma consistente e o hub de conteúdo é onde o conteúdo OOTB é mantido atualizado. O hub de conteúdos também oferece fluxos de trabalho atualizados para soluções e atualizações automáticas para conteúdos autônomos.
Para facilitar essa transição, publicamos uma ferramenta central para restabelecer os modelos desativados EM USO das soluções do hub de conteúdos correspondente.
Restabelecer os modelos desativados EM USO com a ferramenta central
Agora que as alterações na centralização do hub de conteúdos foram concluídas, veja uma visão geral de como concluir o processo de restabelecimento da ferramenta central.
Selecione o link na faixa de aviso para restabelecer os modelos de conteúdo EM USO desativados, somente para galeria.
Esta captura de tela mostra um exemplo de faixa de aviso encontrada na galeria Pastas de Trabalho.
Selecione o link e leia a página com atenção.
Selecione Continuar e examine a lista de conteúdos gerados pela ferramenta.
Selecione Concluir Centralização para iniciar a instalação. A seleção é fixa e não pode ser alterada.
Alteração de página do conector de dados
Todos os conectores de dados agora fazem parte de uma solução. Anteriormente, para promover visualizações de painel (agora chamadas de pastas de trabalho) e fornece consultas KQL de exemplo, incluímos alguns desses itens em uma guia Próximas Etapas da página do conector de dados. Preterimos a parte Próximas Etapas da página do conector de dados em favor do novo comportamento de conteúdo da solução em que todos os componentes da solução são gerenciados juntos com o conector de dados.
A chave para experimentar o comportamento atualizado é começar no Hub de conteúdos. Para obter uma comparação do comportamento anterior com a nova experiência, examine o conector de dados de Atividade do Azure. Depois de instalar a solução do hub de conteúdo e selecionar Gerenciar, toda a solução estará disponível para inspeção. Se você quiser uma visualização do conector de dados de Atividade do Azure, exiba o modelo da pasta de trabalho. Se você quiser ver consultas KQL, comece com a tabela de dados. Para consultas avançadas, procure as regras de análise e consultas de busca.
Para obter mais informações sobre o novo comportamento do conteúdo da solução, consulte Descobrir e implantar conteúdo OOTB.
Se houver uma consulta de exemplo específica para um conector de dados de terceiros que você está procurando, ainda as publicamos em nosso índice Todos os conectores. Por exemplo, essas são as consultas de exemplo para o conector do Jamf Protect.
Alterações no GitHub do Microsoft Sentinel
O Microsoft Sentinel tem um repositório oficial do GitHub para contribuições da comunidade examinadas pela Microsoft e pela comunidade. É a origem da maioria dos itens de conteúdo no hub de conteúdo.
Para uma descoberta consistente desse conteúdo, as alterações de centralização do conteúdo OOTB já foram estendidas para o repositório GitHub do Microsoft Sentinel.
- Todo o conteúdo OOTB empacotado das soluções do hub de conteúdo agora é armazenado na pasta Soluções do repositório GitHub.
- Todos os itens de conteúdo OOTB autônomos permanecerão em seus respectivos locais.
Essas alterações no hub de conteúdo e no repositório GitHub do Microsoft Sentinel concluirão o percurso para centralizar o conteúdo do Microsoft Sentinel.
Quando essa alteração está chegando?
As alterações de centralização foram lançadas! As alterações do GitHub do Microsoft Sentinel já aconteceram. O conteúdo autônomo está disponível em pastas existentes do GitHub e o conteúdo da solução foi movido para a pasta Soluções.
A alteração para a guia Próximas Etapas já foi concluída.
Escopo da alteração
Essa alteração só tem escopo para modelos de tipo de conteúdo da galeria de modelos. Todos esses mesmos modelos e mais conteúdo OOTB estão disponíveis no hub de conteúdo como soluções ou conteúdo autônomo.
Para o repositório GitHub do Microsoft Sentinel, o conteúdo OOTB empacotado em soluções no hub de conteúdo agora está listado apenas na pasta Soluções do repositório GitHub. O outro conteúdo existente do GitHub tem o escopo das pastas a seguir e contém apenas itens de conteúdo autônomo. O conteúdo nas pastas restantes do GitHub não mencionado nesta lista não tem nenhuma alteração.
- Pasta DataConnectors
- Pasta Detecções (regras de análise)
- Pasta Consultas de Busca
- Pasta Analisadores
- Pasta Guias estratégicos
- Pasta Pastas de trabalho
O que não está mudando?
Essa alteração não afeta itens ativos ou personalizados (criados a partir de modelos ou de outra forma). Especificamente, essa alteração não afeta os seguintes itens:
- Conectores de dados com Status = Conectado.
- Regras ou detecções de alerta (habilitadas ou desabilitadas) na guia Regras ativas na galeria de análise.
- Pastas de trabalho salvas na guia Minhas pastas de trabalho na galeria de pastas de trabalho.
- Conteúdo clonado ou Fonte de conteúdo = Personalizado na galeria de busca.
- Guias estratégicos ativos (habilitados ou desabilitados) na guia Guias estratégicos ativos na galeria de automação.
Esta alteração também não afeta nenhum modelo de conteúdo OOTB instalado do hub de conteúdo (identificável como Fonte de conteúdo = Hub de conteúdo).
O que está sendo alterado?
Todas as galerias de modelos agora exibem uma faixa de aviso no produto. Essa faixa contém um link para uma ferramenta que será executada no portal do Microsoft Sentinel. A ativação da ferramenta inicia uma experiência guiada para restabelecer os modelos de conteúdo para os modelos desativados EM USO no hub de conteúdos.
Essa ferramenta só precisa ser executada uma vez por workspace, portanto, certifique-se de planejar com sua organização. Depois que a ferramenta for executada com êxito, a faixa de aviso desaparecerá das galerias de modelos desse workspace.
A tabela a seguir lista impactos específicos para os modelos de conteúdo de cada uma dessas galerias. Espere essas alterações agora que a centralização do conteúdo OOTB está ativa.
Tipo de conteúdo | Impacto |
---|---|
Conectores de dados | Os modelos identificáveis como Fonte de conteúdo = Conteúdo da galeria e Status = Não conectado não aparecerão mais na galeria de conectores de dados. |
Analytics | Modelos identificáveis como Nome da fonte = Conteúdo da galeria não aparecerão mais na galeria de análise. |
Caça | Modelos com Fonte de conteúdo = Conteúdo da galeria não aparecerão mais na galeria de busca. |
Guias estratégicos | Modelos identificáveis como Nome da fonte = Conteúdo da galeria não aparecerão mais na galeria de guias estratégicos de automação. |
Pastas de trabalho | Modelos com Fonte de conteúdo = Conteúdo da galeria não aparecerão na galeria de pastas de trabalho. |
Aqui está um exemplo de uma regra de análise antes e depois que a centralização é alterada e a ferramenta é executada:
A regra de análise ativa não será alterada. Ele é baseado em um modelo de regra de análise que será desativado.
Esta captura de tela mostra um modelo de regra de análise que será desativado.
Depois que a ferramenta for executada para restabelecer o modelo de regra de análise, a origem será alterada para a solução da qual ela foi restabelecida.
Ação necessária
- Instale o novo conteúdo OOTB a partir do hub de conteúdos e atualize as soluções conforme necessário para ter as versões mais recentes dos modelos.
- Para modelos de conteúdo da galeria existentes em uso, obtenha atualizações futuras instalando as soluções ou os itens de conteúdo autônomo do hub de conteúdo. O conteúdo da galeria nas galerias de recursos pode estar desatualizado.
- Se você tiver aplicativos ou processos que obtêm diretamente o conteúdo OOTB do repositório GitHub do Microsoft Sentinel, atualize os locais para incluir a obtenção de conteúdo OOTB da pasta Soluções, além das pastas de conteúdo existentes.
- Planeje com sua organização quem executará a ferramenta e quando, agora que a faixa de aviso e as alterações estão ativas. A ferramenta precisa ser executada uma vez em um workspace para restabelecer todos os modelos EM USO desativados do hub de conteúdo.
- Revise as seguintes perguntas frequentes para saber mais detalhes que podem ser aplicados ao seu ambiente.
Perguntas frequentes sobre centralização de conteúdo
Essa alteração afetará minha geração de alerta SOC ou a geração e gerenciamento de incidentes?
Não. Não há nenhum impacto nas regras ou detecções de alerta ativas, nos guias estratégicos ativos ou nas consultas de busca clonadas ou nas pastas de trabalho salvas. A alteração da centralização de conteúdo OOTB não afetará os processos atuais de geração e gerenciamento de incidentes.
Há exceções para o conteúdo da galeria?
Sim. Os seguintes tipos de modelos de regra de análise são isentos dessa alteração:
- Modelos de regra de anomalias
- Modelos de regra de fusão
- Modelos de regra da Análise de Comportamento do ML (aprendizado de máquina)
- Modelos de regra de Segurança da Microsoft (criação de incidentes)
- Modelos de regra da Inteligência contra Ameaças
Essa alteração afetará qualquer uma das APIs?
Sim. Atualmente, as únicas chamadas à API REST do Microsoft Sentinel que existem para o gerenciamento de modelo de conteúdo são as operações Get
e List
para modelos de regra de alerta. Essas operações apenas exibem modelos de conteúdo da galeria e não serão atualizadas. Para obter mais informações sobre essas operações, confira a referência atual da API REST de Modelos de Regra de Alerta.
Novas operações da API REST do hub de conteúdo estarão disponíveis em breve para habilitar cenários de gerenciamento de conteúdo OOTB de forma mais ampla. Essa atualização de API incluirá operações para os mesmos tipos de conteúdo com escopo nas alterações de centralização (conectores de dados, modelos de guia estratégico, modelos de pasta de trabalho, modelos de regra de análise, consultas de busca). Um mecanismo para atualizar modelos de regra de análise instalados no workspace também está no roteiro.
Ação necessária: planejar a atualização de seus aplicativos e processos para usar as novas operações da API de gerenciamento de conteúdo OOTB no hub de conteúdos quando estiverem disponíveis. Originalmente, dissemos que isso estaria disponível no segundo trimestre de 2023, mas eles ainda não estão prontos.
Como a ferramenta central identificará meus modelos de conteúdo OOTB em uso?
A ferramenta cria uma lista de soluções com base em dois critérios: conectores de dados com Status = Conectado e modelos de guia estratégico EM USO. Depois que a ferramenta compilar a lista proposta de soluções, ela apresentará a lista para aprovação. Se a lista for aprovada, a ferramenta instalará todas essas soluções. Como o conteúdo OOTB é restabelecido com base em soluções, você pode obter mais modelos do que você pode realmente usar.
Essa ferramenta central é um esforço ideal para que seus modelos de conteúdo OOTB EM USO sejam restabelecidos do hub de conteúdo. Você pode instalar o conteúdo OOTB omitido diretamente do hub de conteúdo.
E se eu estiver usando APIs para conectar fontes de dados no meu workspace do Microsoft Sentinel?
Atualmente, se uma conexão de dados de API corresponder ao tipo de dados do conector de dados, ela aparecerá como Status = Conectado na galeria de conectores de dados. Depois que as alterações de centralização ficarem ativas, o conector de dados específico precisará ser instalado de uma solução respectiva para obter o mesmo comportamento.
Ação necessária: Planeje atualizar processos ou ferramentas para que suas implantações de conectores de dados sejam instaladas a partir de soluções do hub de conteúdo antes da conexão com APIs de ingestão de dados. O operador da API REST para instalar uma solução estará disponível no 2º trimestre de 2023 com as APIs de gerenciamento de conteúdo OOTB.
E se eu estiver trabalhando com conteúdo usando o recurso de repositórios no Microsoft Sentinel?
Os repositórios implantam especificamente conteúdo personalizado ou ativo no Microsoft Sentinel. As alterações de centralização de conteúdo OOTB não afetarão o conteúdo implantado por meio do recurso de repositórios.
Isso afeta os grupos de implantação no gerenciador de espaços de trabalho?
Assim como os Repositórios, o gerenciador do espaço de trabalho implanta somente o conteúdo personalizado ou ativo, de modo que as alterações na centralização do conteúdo OOTB também não afetarão o conteúdo implantado por meio do gerenciador do espaço de trabalho.
Próximas etapas
Dê uma olhada nesses outros recursos para conteúdo OOTB e hub de conteúdo: