Informationen zu Microsoft Sentinel-Inhalten und -Lösungen
Microsoft Sentinel-Inhalte sind SIEM-Lösungskomponenten (Security Information & Event Management), die es Kunden ermöglichen, Daten zu erfassen, das System zu überwachen, Warnungen auszugeben, zu suchen, zu untersuchen, zu reagieren und sich mit verschiedenen Produkten, Plattformen und Diensten zu verbinden.
Inhalte in Microsoft Sentinel schließen die folgenden Typen ein:
- Datenconnectors ermöglichen die Protokollerfassung aus verschiedenen Quellen in Microsoft Sentinel
- Parser bieten Protokollformatierung/-transformation in ASIM-Formate (Advanced Security Information Model) und unterstützen die Verwendung über Microsoft Sentinel-Inhaltstypen und -Szenarien hinweg
- Arbeitsmappen bieten Überwachung, Visualisierung und Interaktivität mit Daten in Microsoft Sentinel, um aussagekräftige Erkenntnisse für Benutzer hervorzuheben
- Analyseregeln stellen Warnungen zur Verfügung, die auf relevante SOC-Aktionen über Vorfälle verweisen.
- Hunting-Abfragen werden von SOC-Teams verwendet, um proaktiv nach Bedrohungen in Microsoft Sentinel zu suchen
- Notebooks unterstützt SOC-Teams bei der Verwendung erweiterter Hunting-Features in Jupyter und Azure Notebooks
- Watchlists unterstützen die Erfassung bestimmter Daten für eine verbesserte Bedrohungserkennung und geringere Warnungsermüdung
- Playbooks und benutzerdefinierte Azure Logic Apps-Connectors bieten Features für automatisierte Untersuchungen, Korrekturen und Reaktionsszenarien in Microsoft Sentinel.
Microsoft Sentinel bietet diese Inhaltstypen als Lösungen und eigenständige Elemente an. Lösungen sind Pakete mit Microsoft Sentinel-Inhalten oder Microsoft Sentinel-API-Integrationen, die ein End-to-End-Szenario für Produkte, Domänen oder Schlüsselindustrien in Microsoft Sentinel erfüllen. Sowohl Lösungen als auch eigenständige Elemente können über den Content Hub ermittelt und verwaltet werden.
Sie können entweder vorkonfigurierte Inhalte an Ihre eigenen Anforderungen anpassen oder Ihre eigene Lösung mit Inhalten erstellen, die Sie für andere Personen in der Community freigeben können. Weitere Informationen zur Erstellung und Veröffentlichung von Lösungen finden Sie im Microsoft Sentinel-Lösungserstellungsleitfaden.
Wichtig
Microsoft Sentinel ist als Teil der Public Preview für die einheitliche Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Entdecken und Verwalten von Microsoft Sentinel-Inhalten
Verwenden Sie den Microsoft Sentinel Content Hub, um vorkonfigurierte Inhalte zentral zu entdecken und zu installieren.
Der Microsoft Sentinel Content Hub bietet Produktauffindbarkeit, Bereitstellung in einem Schritt und Aktivierung von vorkonfigurierten End-to-End-Lösungen und -Inhalten für Produkte, Domänen und/oder Schlüsselindustrien in Microsoft Sentinel.
Sie können nach Kategorien und anderen Parametern filtern oder die leistungsstarke Textsuche verwenden, um den Inhalt zu finden, der am besten für die Anforderungen Ihrer Organisation geeignet ist.
Der Content Hub gibt auch das Support-Modell an, das auf die einzelnen Inhaltsteile angewandt wird, da einige Inhalte von Microsoft und andere von Partnern oder der Community verwaltet werden.
Verwalten Sie Updates für sofort einsatzbereite Inhalte im Inhaltshub. Oder verwalten Sie Updates für benutzerdefinierte Inhalte über die Seite Repositorys. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.
Passen Sie vorkonfigurierte Inhalte an Ihre eigenen Anforderungen an, oder erstellen Sie benutzerdefinierte Inhalte, einschließlich Analyseregeln, Hunting-Abfragen, Notebooks, Arbeitsmappen und mehr.
Verwalten Sie Ihre benutzerdefinierten Inhalte direkt in Ihrem Microsoft Sentinel-Arbeitsbereich, indem Sie die Microsoft Sentinel-API verwenden, oder in Ihrem eigenen Quellcodeverwaltungsrepository. Weitere Informationen finden Sie unter Microsoft Sentinel-API oder Bereitstellen benutzerdefinierter Inhalte aus Ihrem Repository.
Vorteile von Content-Hub-Lösungen
Microsoft Sentinel-Lösungen sind gepackte Integrationen, die einen End-to-End-Produktwert für ein oder mehrere Domänenszenarien oder vertikale Szenarien im Inhaltshub liefern.
Über die Lösungsoberfläche, die von Azure Marketplace unterstützt wird, können Sie gewünschte Inhalte ermitteln und bereitstellen. Weitere Informationen zum Erstellen und Veröffentlichen von Lösungen im Azure Marketplace finden Sie im Microsoft Sentinel-Lösungserstellungsleitfaden.
Gepackte Inhalte sind Sammlungen von einer oder mehreren Komponenten von Microsoft Sentinel-Inhalten, z. B. Datenconnectors, Arbeitsmappen, Analyseregeln, Playbooks, Hunting-Abfragen, Watchlists, Parser und mehr.
Integrationen umfassen Dienste oder Tools, die mithilfe von Microsoft Sentinel- oder Azure Log Analytics-APIs erstellt wurden, die Integrationen zwischen Azure und vorhandenen Kundenanwendungen unterstützen oder Daten, Abfragen und mehr von diesen Anwendungen in Microsoft Sentinel migrieren.
Sie können Lösungen auch verwenden, um Pakete von vorkonfigurierten Inhalten in einem einzigen Schritt zu installieren, wo der Inhalt häufig sofort verwendet werden kann. Anbieter und Partner können Sentinel-Lösungen verwenden, um Mehrwert für die Investitionen ihrer Kunden zu schaffen, indem sie einen kombinierten Produktmehrwert, Domänenmehrwert oder vertikalen Nutzen bereitstellen.
Verwenden Sie den Content Hub, um Lösungen und vorkonfigurierte Inhalte auf szenariogesteuerte Weise zentral zu entdecken und bereitzustellen.
Weitere Informationen finden Sie unter:
- Zentrales Entdecken und Bereitstellen integrierter Microsoft Sentinel-Inhalte und -Lösungen
- Microsoft Sentinel-Lösungskatalog im Azure Marketplace
- Microsoft Sentinel-Katalog
Kategorien für vorkonfigurierte Microsoft Sentinel-Inhalte und -Lösungen
Vorkonfigurierte Inhalte für Microsoft Sentinel können mit mindestens einer der folgenden Kategorien angewendet werden. Wählen Sie im Content Hubdie Kategorien aus, die Sie anzeigen möchten, um den angezeigten Inhalt zu ändern. Sie können von der Community bereitgestellte Elemente zentral im Content Hub als eigenständige Inhalte oder Lösungen entdecken.
Domänenkategorien
| Kategoriename | BESCHREIBUNG |
|---|---|
| Anwendung | Web-, serverbasierte, SaaS-, Datenbank-, Kommunikations- oder Produktivitätsworkload |
| Cloudanbieter | Clouddienst |
| Compliance | Complianceprodukt, -dienste und -protokolle |
| DevOps | Entwicklungsbetriebstools und -dienste |
| Identität | Identitätsdienstanbieter und -integrationen |
| Internet der Dinge (IoT) | IoT, Geräte für Betriebstechnik (Operational Technology, OT) und Infrastruktur, Industriekontrolldienste |
| IT-Betrieb | IT-Verwaltung von Produkten und Diensten |
| Migration | Migrationsumsetzung Produkte, Dienste und |
| Netzwerk | Netzwerkprodukte, -dienste und -tools |
| Plattform | Generische oder Frameworkkomponenten von Microsoft Sentinel, Cloudinfrastruktur und Plattform |
| Sicherheit - Andere | Andere Sicherheitsprodukte und -dienste ohne andere eindeutige Kategorie |
| Sicherheit - Threat Intelligence | Threat Intelligence Plattformen, Feeds, Produkte und Dienste |
| Sicherheit - Bedrohungsschutz | Bedrohungsschutz, E-Mail-Schutz, erweiterte Erkennung und Reaktion (XDR) sowie Endpoint-Protection-Produkte und -Dienste |
| Sicherheit – 0-Day-Sicherheitsrisiko | Spezielle Lösungen für Zero-Day-Sicherheitsrisikoangriffe wie Nobelium |
| Sicherheits – Automatisierung (SOAR) | Sicherheitsautomatisierungen, SOAR (Security Operations and Automated Responses), Sicherheitsvorgänge sowie Produkte und Dienste für die Reaktion auf Vorfälle. |
| Sicherheit – Cloudsicherheit | CASB (Cloud Access Service Broker), CWPP (Cloud Workload Protection Platforms), CSPM (Cloud Security Posture Management und andere Cloud Security-Produkte und -Dienste |
| Sicherheit – Informationsschutz | Produkte und Dienste zum Schutz von Informationen und Dokumenten |
| Sicherheit – Insider-Bedrohung | Insider Threat And User and Entity Behavioral Analytics (UEBA) für Sicherheitsprodukte und -dienste |
| Sicherheit – Netzwerk | Sicherheitsnetzwerkgeräte, Firewall, NDR (Netzwerkerkennung und -antwort), NIDP (Netzwerkangriffs- und Erkennungsschutz) und Netzwerkpaketerfassung |
| Sicherheit – Sicherheitsrisikomanagement | Produkte und Dienste für die Verwaltung von Sicherheitsrisiken |
| Storage | Dateispeicher und Dateifreigabeprodukte und -dienste |
| Training und Tutorials | Schulungs-, Tutorials- und Onboardingressourcen |
| Benutzerverhalten (UEBA) | Analyseprodukte und -dienste für Benutzerverhalten |
Branchen vertikale Kategorien
| Kategoriename | BESCHREIBUNG |
|---|---|
| Luft- und Raumfahrt | Produkte, Dienste und Inhalte, die spezifisch für die Luftfahrbranche sind |
| Education | Produkte, Dienste und Inhalte, die spezifisch für die Bildungsbranche sind |
| Finanzen | Produkte, Dienste und Inhalte, die spezifisch für die Finanzbranche sind |
| Gesundheitswesen | Produkte, Dienste und Inhalte, die spezifisch für die Gesundheitsbranche sind |
| Manufacturing | Produkte, Dienste und Inhalte, die spezifisch für die Fertigungsindustrie sind |
| Retail (Einzelhandel) | Produkte, Dienste und Inhalte, die spezifisch für die Einzelhandelsbranche sind |
Unterstützungsmodelle für vorkonfigurierte Microsoft Sentinel-Inhalte und -Lösungen
Sowohl Microsoft als auch andere Organisationen erstellen vorkonfigurierte Microsoft Sentinel-Inhalte und -Lösungen. Jeder Teil der vorkonfigurierten Inhalte oder Lösungen verfügt über einen der folgenden Unterstützungstypen:
| Unterstützungsmodell | BESCHREIBUNG |
|---|---|
| Von Microsoft unterstützt | Gilt für: – Inhalte/Lösungen, bei denen Microsoft der Datenanbieter (falls relevant) und Autor ist. - Einige von Microsoft erstellte Datenconnectoren für Nicht-Microsoft-Datenquellen. Microsoft unterstützt und verwaltet Inhalte/Lösungen in diesem Unterstützungsmodell gemäß der Microsoft Azure Supportpläne. Partner oder die Community unterstützen Inhalte oder Lösungen, die von einer anderen Partei als Microsoft erstellt werden. |
| Von Partnern unterstützt | Gilt für Inhalte/Lösungen, die von anderen Parteien als Microsoft erstellt wurden. Das Partnerunternehmen bietet Support oder Wartung für diese Inhalts-/Lösungsteile. Das Partnerunternehmen kann ein unabhängiger Softwarehersteller (ISV), ein Anbieter verwalteter Dienste (Managed Service Provider, MSP/MSSP), ein Systemintegrator (SI) oder eine beliebige Organisation sein, deren Kontaktinformationen auf der Microsoft Sentinel-Seite für die ausgewählten Inhalte/Lösungen bereitgestellt werden. Wenden Sie sich bei Problemen mit einer vom Partner unterstützten Lösung an den angegebenen Supportkontakt. |
| Von der Community unterstützt | Gilt für Inhalte oder Lösungen, die von Microsoft oder Partnerentwicklern erstellt wurden und für die keine Kontaktinformationen für Support und Wartung in Microsoft Sentinel hinterlegt sind. Bei Fragen oder Problemen mit diesen Lösungen können Sie in der GitHub-Community für Microsoft Sentinelein Problem melden. |
Inhaltsquellen für Microsoft Sentinel-Inhalte und -Lösungen
Jeder Teil der Inhalte oder Lösungen verfügt über eine der folgenden Inhaltsquellen:
| Inhaltsquelle | Beschreibung |
|---|---|
| Inhaltshub | Vom Content Hub bereitgestellte Lösungen, die die Lebenszyklusverwaltung unterstützen |
| Eigenständig | Vom Content Hub bereitgestellter eigenständiger Inhalt, der automatisch auf dem neuesten Stand gehalten wird |
| Benutzerdefiniert | Inhalte oder Lösungen, die Sie in Ihrem Arbeitsbereich angepasst haben |
| Kataloginhalt | Inhalte aus den Featurekatalogen, die die Lebenszyklusverwaltung nicht unterstützen. Diese Inhaltsquelle wird bald ausgemustert. Weitere Informationen finden Sie unter Microsoft Sentinel out-of-the-box content centralization changes (Änderungen an der vorkonfigurierten Inhaltszentralisierung von Microsoft Sentinel). |
| Repositorys | Inhalte oder Lösungen aus einem Repository, das mit Ihrem Arbeitsbereich verbunden ist |
Nächste Schritte
Entdecken Sie Lösungen und eigenständige Inhalte aus dem Content Hub und installieren Sie sie in Ihrem Microsoft Sentinel-Arbeitsbereich.
Weitere Informationen finden Sie unter: