Perubahan pemusatan konten siap pakai Microsoft Azure Sentinel

  • Artikel

Hub konten Microsoft Azure Sentinel memungkinkan penemuan dan penginstalan konten dan solusi out-of-the-box (OOTB) sesuai permintaan dalam satu langkah. Sebelumnya, beberapa konten OOTB ini hanya ada di berbagai bagian galeri Microsoft Sentinel. Sekarang, semua templat konten galeri berikut ini tersedia di hub konten sebagai item mandiri atau sebagai bagian dari solusi paket:

  • Konektor data
  • Templat aturan analitik
  • Kueri pemburuan
  • Template playbook
  • Templat buku kerja

Perubahan hub konten

Untuk mempusatkan semua konten OOTB, kami telah menghentikan templat konten khusus galeri. Templat konten galeri warisan tidak lagi diperbarui secara konsisten, dan hub konten adalah tempat konten OOTB tetap diperbarui. Hub konten juga menyediakan alur kerja yang diperbarui untuk solusi dan pembaruan otomatis untuk konten mandiri.

Untuk memfasilitasi transisi ini, kami telah menerbitkan alat pusat untuk mengembalikan templat IN USE yang dihentikan dari solusi hub konten yang sesuai.

Mengembalikan templat IN USE yang dihentikan dengan alat pusat

Sekarang setelah perubahan pusatisasi hub konten selesai, berikut adalah gambaran umum tentang cara menyelesaikan proses kembali alat pusat.

  1. Pilih tautan di banner peringatan untuk mengembalikan templat konten khusus galeri IN USE yang dihentikan.

    Cuplikan layar ini memperlihatkan contoh spanduk peringatan yang ditemukan di galeri Buku Kerja . Screenshot showing orange warning banner with link to initiate central tool.

  2. Pilih tautan dan baca halaman dengan hati-hati.

  3. Pilih Lanjutkan dan tinjau daftar konten yang dihasilkan alat.

    Screenshot shows central tool page including details on how to use it.

  4. Pilih Selesaikan Pemusatan untuk memulai penginstalan. Pilihan diperbaiki dan tidak dapat diubah.

    Screenshot shows the list of content the tool generates.

Perubahan halaman konektor data

Semua konektor data sekarang menjadi bagian dari solusi. Sebelumnya, untuk mempromosikan visualisasi dasbor (sekarang disebut buku kerja) dan menyediakan sampel kueri KQL, kami menyertakan beberapa item ini pada tab Langkah Berikutnya dari halaman konektor data. Kami telah menghentikan bagian Langkah Berikutnya dari halaman konektor data demi perilaku konten solusi baru di mana semua komponen solusi dikelola bersama konektor data.

Kunci untuk mengalami perilaku yang diperbarui adalah memulai di Hub konten. Untuk perbandingan perilaku sebelumnya dengan pengalaman baru, periksa konektor data Aktivitas Azure. Setelah menginstal solusi dari hub konten dan memilih Kelola, seluruh solusi tersedia untuk diperiksa. Jika Anda menginginkan visualisasi konektor data Aktivitas Azure, tampilkan templat untuk buku kerja. Jika Anda ingin melihat kueri KQL, mulailah dengan tabel data. Untuk kueri tingkat lanjut, lihat aturan analitik dan kueri berburu.

Untuk informasi selengkapnya tentang perilaku konten solusi baru, lihat Menemukan dan menyebarkan konten OOTB.

Jika ada kueri sampel tertentu untuk konektor data pihak ketiga yang Anda cari, kami masih menerbitkannya di indeks Semua konektor kami. Misalnya, berikut adalah kueri sampel untuk konektor Jamf Protect.

Perubahan GitHub Microsoft Sentinel

Microsoft Sentinel memiliki repositori GitHub resmi untuk kontribusi komunitas yang diperiksa oleh Microsoft dan komunitas. Ini adalah sumber untuk sebagian besar item konten di hub konten.

Untuk penemuan konten ini secara konsisten, perubahan sentralisasi konten OOTB telah diperluas ke repositori GitHub Microsoft Sentinel:

  • Semua konten OOTB yang dipaketkan dari solusi hub konten sekarang disimpan di folder Solusi repositori GitHub.
  • Semua item konten OOTB mandiri akan tetap berada di lokasi masing-masing.

Perubahan ini pada hub konten dan repositori GitHub Microsoft Sentinel akan menyelesaikan perjalanan menuju memusatkan konten Microsoft Azure Sentinel.

Kapan perubahan ini datang?

Perubahan sentralisasi telah dirilis! Perubahan GitHub Microsoft Sentinel telah terjadi. Konten mandiri tersedia di folder GitHub yang ada, dan konten solusi telah dipindahkan ke folder Solusi .

Perubahan ke tab Langkah Berikutnya telah selesai.

Cakupan perubahan

Perubahan ini hanya dilingkupkan ke tipe konten galeri templat. Semua templat yang sama ini dan lebih banyak konten OOTB tersedia di hub konten sebagai solusi atau konten mandiri.

Untuk repositori GitHub Microsoft Sentinel, konten OOTB yang dipaketkan dalam solusi di hub konten sekarang hanya tercantum di bawah folder Solusi repositori GitHub. Konten GitHub lain yang ada dicakup ke folder berikut dan hanya berisi item konten mandiri. Konten di folder GitHub yang tersisa yang tidak disebutkan dalam daftar ini tidak memiliki perubahan apa pun.

Apa yang tidak berubah?

Perubahan ini tidak memengaruhi item aktif atau kustom (dibuat dari templat atau sebaliknya). Secara khusus, perubahan ini tidak memengaruhi item berikut:

  • Konektor data dengan Status = Koneksi ed.
  • Aturan pemberitahuan atau deteksi (diaktifkan atau dinonaktifkan) pada tab Aturan aktif di galeri analitik.
  • Buku kerja tersimpan pada tab Buku kerja saya di galeri buku kerja.
  • Konten kloning atau Sumber konten = Kustom di galeri perburuan.
  • Playbook aktif (diaktifkan atau dinonaktifkan) pada tab Playbook aktif di galeri otomatisasi.

Perubahan ini juga tidak memengaruhi templat konten OOTB apa pun yang diinstal dari hub konten (dapat diidentifikasi sebagai hub Konten sumber = konten).

Apa yang berubah?

Semua galeri templat sekarang menampilkan banner peringatan dalam produk. Banner ini berisi tautan ke alat yang akan berjalan dalam portal Microsoft Azure Sentinel. Mengaktifkan alat memulai pengalaman terpandu untuk mengembalikan templat konten untuk templat IN USE yang dihentikan dari hub konten.

Alat ini hanya perlu berjalan sekali per ruang kerja, jadi pastikan untuk merencanakan dengan organisasi Anda. Setelah alat berhasil berjalan, banner peringatan akan hilang dari galeri templat ruang kerja tersebut.

Tabel berikut ini mencantumkan dampak tertentu pada templat konten untuk setiap galeri ini. Harapkan perubahan ini sekarang setelah pemusatan konten OOTB ditayangkan.

Jenis konten Dampak
Konektor data Templat yang dapat diidentifikasi sebagai konten Galeri sumber = konten dan Status = Tidak tersambung tidak akan muncul lagi di galeri konektor data.
Analitik Templat yang dapat diidentifikasi sebagai konten Galeri Nama = sumber tidak akan lagi muncul di galeri analitik.
Berburu Templat dengan konten Galeri sumber = Konten tidak akan lagi muncul di galeri perburuan.
Playbook Templat yang dapat diidentifikasi sebagai konten Galeri Nama = sumber tidak akan lagi muncul di galeri playbook otomatisasi.
Buku Kerja Templat dengan konten Galeri sumber = Konten tidak akan lagi muncul di galeri buku kerja.

Berikut adalah contoh aturan analitik sebelum dan sesudah perubahan sentralisasi dan alat telah berjalan:

  • Aturan analitik aktif tidak akan berubah sama sekali. Ini didasarkan pada templat aturan analitik yang akan dihentikan.

    Screenshot that shows an active analytics rule before centralization changes.

    Cuplikan layar ini memperlihatkan templat aturan analitik yang akan dihentikan.

    Screenshot that shows the analytics rule template that will be retired.

  • Setelah Anda menjalankan alat untuk mengembalikan templat aturan analitik, sumber berubah menjadi solusi tempatnya dipulihkan.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

Tindakan diperlukan

  • Instal konten OOTB baru dari hub konten dan perbarui solusi sesuai kebutuhan untuk memiliki versi templat terbaru.
  • Untuk templat konten galeri yang sudah ada yang digunakan, dapatkan pembaruan di masa mendatang dengan menginstal solusi atau item konten mandiri dari hub konten. Konten galeri di galeri fitur mungkin sudah kedaluarsa.
  • Jika Anda memiliki aplikasi atau proses yang langsung mendapatkan konten OOTB dari repositori GitHub Microsoft Sentinel, perbarui lokasi untuk menyertakan mendapatkan konten OOTB dari folder Solusi selain folder konten yang ada.
  • Rencanakan dengan organisasi Anda yang akan menjalankan alat, dan kapan, sekarang spanduk peringatan dan perubahan ditayangkan. Alat ini perlu berjalan sekali di ruang kerja untuk mengembalikan semua templat IN USE yang dihentikan dari hub konten.
  • Tinjau FAQ berikut untuk mempelajari detail selengkapnya yang mungkin berlaku untuk lingkungan Anda.

Tanya Jawab Umum pemusatan konten

Apakah perubahan ini akan memengaruhi pembuatan pemberitahuan SOC saya atau pembuatan dan manajemen insiden?

Nomor. Tidak ada dampak pada aturan atau deteksi pemberitahuan aktif, playbook aktif, kueri berburu kloning, atau buku kerja yang disimpan. Perubahan pemusatan konten OOTB tidak akan memengaruhi pembuatan insiden dan proses manajemen Anda saat ini.

Apakah ada pengecualian untuk konten galeri?

Ya. Jenis templat aturan analitik berikut dikecualikan dari perubahan ini:

  • Templat aturan anomali
  • Templat aturan Fusion
  • Templat aturan Analitik Perilaku ML (pembelajaran mesin)
  • Templat aturan Microsoft Security (pembuatan insiden)
  • Templat aturan Inteligensi Ancaman

Apakah perubahan ini akan memengaruhi salah satu API?

Ya. Saat ini, satu-satunya panggilan MICROSOFT Sentinel REST API yang ada untuk manajemen templat konten adalah Get operasi dan List untuk templat aturan pemberitahuan. Operasi ini hanya menampilkan templat konten galeri dan tidak akan diperbarui. Untuk informasi selengkapnya tentang operasi ini, lihat referensi REST API Templat Aturan Pemberitahuan saat ini.

Operasi REST API baru di hub konten akan segera tersedia untuk mengaktifkan skenario manajemen konten OOTB secara lebih luas. Pembaruan API ini akan mencakup operasi untuk jenis konten yang sama yang tercakup dalam perubahan sentralisasi (konektor data, templat playbook, templat buku kerja, templat aturan analitik, kueri berburu). Mekanisme untuk memperbarui templat aturan analitik yang diinstal di ruang kerja juga ada di peta strategi.

Tindakan yang diperlukan: Rencanakan untuk memperbarui aplikasi dan proses Anda untuk menggunakan operasi API manajemen konten OOTB baru di hub konten saat tersedia. Awalnya kami menyatakan ini akan tersedia Q2 2023, tetapi belum siap.

Bagaimana alat pusat akan mengidentifikasi templat konten OOTB saya yang sedang digunakan?

Alat ini membangun daftar solusi berdasarkan dua kriteria: konektor data dengan templat playbook Status = Koneksi ed dan IN USE. Setelah alat membangun daftar solusi yang diusulkan, alat akan menyajikan daftar untuk disetujui. Jika daftar disetujui, alat akan menginstal semua solusi tersebut. Karena konten OOTB dipulihkan berdasarkan solusi, Anda mungkin mendapatkan lebih banyak templat daripada yang benar-benar Anda gunakan.

Alat pusat ini adalah upaya terbaik untuk mendapatkan templat konten IN USE OOTB Anda kembali dari hub konten. Anda dapat menginstal konten OOTB yang dihilangkan langsung dari hub konten.

Bagaimana jika saya menggunakan API untuk menyambungkan sumber data di ruang kerja Microsoft Azure Sentinel saya?

Saat ini, jika koneksi data API cocok dengan jenis data konektor data, koneksi data akan muncul sebagai Status = Koneksi di galeri konektor data. Setelah perubahan sentralisasi ditayangkan, konektor data tertentu perlu diinstal dari solusi masing-masing untuk mendapatkan perilaku yang sama.

Tindakan yang diperlukan: Rencanakan untuk memperbarui proses atau alat untuk penyebaran konektor data Anda untuk diinstal dari solusi hub konten sebelum menyambungkan dengan API penyerapan data. Operator REST API untuk menginstal solusi akan hadir di Q2 2023 dengan API manajemen konten OOTB.

Bagaimana jika saya bekerja dengan konten dengan menggunakan fitur repositori di Microsoft Azure Sentinel?

Repositori secara khusus menyebarkan konten kustom atau aktif di Microsoft Azure Sentinel. Perubahan pemusatan konten OOTB tidak akan memengaruhi konten yang disebarkan melalui fitur repositori.

Apakah ini memengaruhi grup penyebaran di manajer ruang kerja?

Sama seperti Repositori, manajer ruang kerja hanya menyebarkan konten kustom atau aktif, sehingga perubahan pemusatan konten OOTB tidak akan memengaruhi konten yang disebarkan melalui manajer ruang kerja.

Langkah berikutnya

Lihat sumber daya lain ini untuk konten OOTB dan hub konten: