Alterações de centralização de conteúdo prontas para uso do Microsoft Sentinel

  • Artigo

O hub de conteúdo do Microsoft Sentinel permite a descoberta e a instalação sob demanda de conteúdo e soluções prontos para uso (OOTB) em uma única etapa. Anteriormente, parte desse conteúdo OOTB existia apenas em várias seções de galeria do Microsoft Sentinel. Agora, todos os seguintes modelos de conteúdo de galeria estão disponíveis no hub de conteúdo como itens autônomos ou como parte de soluções empacotadas:

  • Conectores de dados
  • Modelos de regras do Google Analytics
  • Consultas de investigação
  • Modelos de playbook
  • Modelos de livro

Alterações no hub de conteúdo

Para centralizar todo o conteúdo OOTB, desativamos os modelos de conteúdo somente de galeria. Os modelos de conteúdo de galeria herdados não estão mais sendo atualizados de forma consistente, e o hub de conteúdo é onde o conteúdo OOTB permanece atualizado. O hub de conteúdo também fornece fluxos de trabalho atualizados para soluções e atualizações automáticas para conteúdo autônomo.

Para facilitar essa transição, publicamos uma ferramenta central para restabelecer modelos aposentados IN USE das soluções de hub de conteúdo correspondentes.

Restabelecer modelos IN USE aposentados com ferramenta central

Agora que as alterações de centralização do hub de conteúdo estão concluídas, aqui está uma visão geral de como concluir o processo de restabelecimento da ferramenta central.

  1. Selecione o link no banner de aviso para restabelecer IN USE modelos de conteúdo desativados e somente galeria.

    Esta captura de tela mostra um exemplo do banner de aviso encontrado na galeria Pastas de trabalho. Screenshot showing orange warning banner with link to initiate central tool.

  2. Selecione o link e leia a página com atenção.

  3. Selecione Continuar e revise a lista de conteúdo gerada pela ferramenta.

    Screenshot shows central tool page including details on how to use it.

  4. Selecione Centralização completa para iniciar a instalação. A seleção é fixa e não pode ser alterada.

    Screenshot shows the list of content the tool generates.

Alteração de página do conector de dados

Todos os conectores de dados agora fazem parte de uma solução. Anteriormente, para promover visualizações de painel (agora chamadas de pastas de trabalho) e fornecer exemplos de consultas KQL, incluímos alguns desses itens em uma guia Próximas etapas da página do conector de dados. Substituímos a parte Próximas etapas da página do conector de dados em favor do novo comportamento de conteúdo da solução, em que todos os componentes da solução são gerenciados junto com o conector de dados.

A chave para experimentar o comportamento atualizado é começar no hub de conteúdo. Para obter uma comparação do comportamento anterior com a nova experiência, examine o conector de dados da Atividade do Azure. Depois de instalar a solução a partir do hub de conteúdo e selecionar Gerenciar, toda a solução fica disponível para inspeção. Se você quiser uma visualização do conector de dados da Atividade do Azure, exiba o modelo da pasta de trabalho. Se você quiser ver consultas KQL, comece com a tabela de dados. Para consultas avançadas, consulte as regras de análise e as consultas de caça.

Para obter mais informações sobre o novo comportamento de conteúdo da solução, consulte Descobrir e implantar conteúdo OOTB.

Se houver uma consulta de exemplo específica para um conector de dados de terceiros que você está procurando, ainda os publicaremos em nosso índice Todos os conectores. Por exemplo, aqui estão as consultas de exemplo para o conector Jamf Protect.

Alterações no GitHub do Microsoft Sentinel

O Microsoft Sentinel tem um repositório oficial do GitHub para contribuições da comunidade examinadas pela Microsoft e pela comunidade. É a fonte para a maioria dos itens de conteúdo no hub de conteúdo.

Para uma descoberta consistente desse conteúdo, as alterações de centralização de conteúdo OOTB já foram estendidas ao repositório GitHub do Microsoft Sentinel:

  • Todo o conteúdo OOTB empacotado a partir de soluções de hub de conteúdo agora é armazenado na pasta Soluções do repositório GitHub.
  • Todos os itens de conteúdo OOTB autônomos permanecerão em seus respetivos locais.

Essas alterações no hub de conteúdo e no repositório GitHub do Microsoft Sentinel completarão a jornada para centralizar o conteúdo do Microsoft Sentinel.

Quando vem essa mudança?

As mudanças de centralização foram liberadas! As mudanças no Microsoft Sentinel GitHub já aconteceram. O conteúdo autônomo está disponível em pastas existentes do GitHub e o conteúdo da solução foi movido para a pasta Soluções .

A alteração para a guia Próximas etapas já foi concluída.

Âmbito da alteração

Essa alteração tem como escopo apenas o tipo de conteúdo de galeria de modelos. Todos esses mesmos modelos e mais conteúdo OOTB estão disponíveis no hub de conteúdo como soluções ou conteúdo autônomo.

Para o repositório GitHub do Microsoft Sentinel, o conteúdo OOTB empacotado em soluções no hub de conteúdo agora está listado apenas na pasta Soluções do repositório GitHub. O outro conteúdo existente do GitHub tem como escopo as seguintes pastas e contém apenas itens de conteúdo autônomos. O conteúdo das pastas restantes do GitHub não mencionadas nesta lista não tem alterações.

O que não muda?

Essa alteração não afeta itens ativos ou personalizados (criados a partir de modelos ou de outra forma). Especificamente, essa alteração não afeta os seguintes itens:

  • Conectores de dados com Status = Conectado.
  • Regras ou deteções de alerta (ativadas ou desativadas) no separador Regras ativas na galeria de análises.
  • Pastas de trabalho salvas na guia Minhas pastas de trabalho na galeria de pastas de trabalho.
  • Conteúdo clonado ou fonte = de conteúdo Personalizado na galeria de caça.
  • Playbooks ativos (ativados ou desativados) na guia Playbooks ativos na galeria de automação.

Essa alteração também não afeta nenhum modelo de conteúdo OOTB instalado a partir do hub de conteúdo (identificável como hub de conteúdo de fonte de = conteúdo).

O que está a mudar?

Todas as galerias de modelos agora exibem um banner de aviso no produto. Este banner contém um link para uma ferramenta que será executada no portal Microsoft Sentinel. A ativação da ferramenta inicia uma experiência guiada para restabelecer os modelos de conteúdo para os modelos retirados IN USE do hub de conteúdo.

Essa ferramenta precisa ser executada apenas uma vez por espaço de trabalho, portanto, certifique-se de planejar com sua organização. Depois que a ferramenta for executada com êxito, o banner de aviso desaparecerá das galerias de modelos desse espaço de trabalho.

A tabela a seguir lista os impactos específicos nos modelos de conteúdo de cada uma dessas galerias. Espere essas alterações agora que a centralização de conteúdo OOTB está ativa.

Tipo de conteúdo Impacto
Conectores de dados Os modelos identificáveis como Conteúdo e Status = da Galeria de Fontes de Conteúdo = Não conectados não aparecerão mais na galeria de conectores de dados.
Análise Os modelos identificáveis como conteúdo da Galeria de nomes = de origem não aparecerão mais na galeria de análise.
Caça Os modelos com conteúdo da Galeria de fontes = de conteúdo não aparecerão mais na galeria de busca.
Playbooks Os modelos identificáveis como conteúdo da Galeria de nomes = de origem não aparecerão mais na galeria de playbooks de automação.
Livros Os modelos com conteúdo da Galeria de fontes = de conteúdo não aparecerão mais na galeria de pastas de trabalho.

Aqui está um exemplo de uma regra de análise antes e depois das alterações de centralização e da execução da ferramenta:

  • A regra de análise ativa não mudará em nada. Ele se baseia em um modelo de regra de análise que será desativado.

    Screenshot that shows an active analytics rule before centralization changes.

    Esta captura de tela mostra um modelo de regra de análise que será desativado.

    Screenshot that shows the analytics rule template that will be retired.

  • Depois de executar a ferramenta para restabelecer o modelo de regra de análise, a fonte muda para a solução da qual foi restabelecida.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

Ações necessárias

  • Instale novo conteúdo OOTB a partir do hub de conteúdo e atualize as soluções conforme necessário para ter as versões mais recentes dos modelos.
  • Para modelos de conteúdo de galeria existentes em uso, obtenha atualizações futuras instalando as soluções ou itens de conteúdo autônomos do hub de conteúdo. O conteúdo da galeria nas galerias de recursos pode estar desatualizado.
  • Se você tiver aplicativos ou processos que obtêm diretamente conteúdo OOTB do repositório GitHub do Microsoft Sentinel, atualize os locais para incluir a obtenção de conteúdo OOTB da pasta Soluções , além das pastas de conteúdo existentes.
  • Planeje com sua organização quem executará a ferramenta e quando, agora que o banner de aviso e as alterações estão ativos. A ferramenta precisa ser executada uma vez em um espaço de trabalho para restabelecer todos os modelos IN USE aposentados do hub de conteúdo.
  • Consulte as perguntas frequentes a seguir para saber mais detalhes que podem se aplicar ao seu ambiente.

Perguntas frequentes sobre centralização de conteúdo

Essa alteração afetará minha geração de alertas SOC ou a geração e o gerenciamento de incidentes?

Não Não há impacto em regras ou deteções de alerta ativas, playbooks ativos, consultas de caça clonadas ou pastas de trabalho salvas. A alteração de centralização de conteúdo OOTB não afetará seus processos atuais de geração e gerenciamento de incidentes.

Existem exceções para o conteúdo da galeria?

Sim. Os seguintes tipos de modelos de regras de análise estão isentos dessa alteração:

  • Modelos de regras de anomalias
  • Modelos de regras do Fusion
  • Modelos de regras do ML Behavior Analytics (aprendizado de máquina)
  • Modelos de regras de Segurança da Microsoft (criação de incidentes)
  • Modelos de regras de Inteligência de Ameaças

Essa alteração afetará alguma das APIs?

Sim. Atualmente, as únicas chamadas de API REST do Microsoft Sentinel que existem para o gerenciamento de modelos de conteúdo são as Get operações e List para modelos de regra de alerta. Essas operações apresentam apenas modelos de conteúdo de galeria e não serão atualizadas. Para obter mais informações sobre essas operações, consulte a referência atual da API REST de Modelos de Regra de Alerta.

Novas operações da API REST no hub de conteúdo estarão disponíveis em breve para habilitar cenários de gerenciamento de conteúdo OOTB de forma mais ampla. Esta atualização de API incluirá operações para os mesmos tipos de conteúdo com escopo nas alterações de centralização (conectores de dados, modelos de playbook, modelos de pasta de trabalho, modelos de regra de análise, consultas de caça). Um mecanismo para atualizar modelos de regras de análise instalados no espaço de trabalho também está no roteiro.

Ação necessária: planeje atualizar seus aplicativos e processos para usar as novas operações da API de gerenciamento de conteúdo OOTB no hub de conteúdo quando estiverem disponíveis. Originalmente, expressamos que isso estaria disponível no segundo trimestre de 2023, mas eles ainda não estão prontos.

Como a ferramenta central identificará meus modelos de conteúdo OOTB em uso?

A ferramenta constrói uma lista de soluções com base em dois critérios: conectores de dados com status = conectado e modelos de playbook IN USE. Depois que a ferramenta construir a lista proposta de soluções, ela apresentará a lista para aprovação. Se a lista for aprovada, a ferramenta instalará todas essas soluções. Como o conteúdo OOTB é restabelecido com base em soluções, você pode obter mais modelos do que realmente usa.

Essa ferramenta central é o melhor esforço para que seus modelos de conteúdo IN USE OOTB sejam restabelecidos do hub de conteúdo. Você pode instalar conteúdo OOTB omitido diretamente do hub de conteúdo.

E se eu estiver usando APIs para conectar fontes de dados no meu espaço de trabalho do Microsoft Sentinel?

Atualmente, se uma conexão de dados de API corresponder ao tipo de dados do conector de dados, ela aparecerá como Status = Conectado na galeria de conectores de dados. Depois que as alterações de centralização forem ativadas, o conector de dados específico precisa ser instalado a partir de uma respetiva solução para obter o mesmo comportamento.

Ação necessária: planeje atualizar processos ou ferramentas para suas implantações de conector de dados a serem instaladas a partir de soluções de hub de conteúdo antes de se conectar com APIs de ingestão de dados. O operador de API REST para instalar uma solução chegará no segundo trimestre de 2023 com as APIs de gerenciamento de conteúdo OOTB.

E se eu estiver trabalhando com conteúdo usando o recurso de repositórios no Microsoft Sentinel?

Os repositórios implantam especificamente conteúdo personalizado ou ativo no Microsoft Sentinel. As alterações de centralização de conteúdo OOTB não afetarão o conteúdo implantado por meio do recurso de repositórios.

Isso afeta os grupos de implantação no gerenciador de espaços de trabalho?

Assim como os repositórios, o gerenciador de espaço de trabalho implanta apenas conteúdo personalizado ou ativo, portanto, as alterações de centralização de conteúdo OOTB também não afetarão o conteúdo implantado por meio do gerenciador de espaço de trabalho.

Próximos passos

Dê uma olhada nesses outros recursos para conteúdo OOTB e o hub de conteúdo: