Informazioni sui contenuti e le soluzioni di Microsoft Sentinel
Il contenuto di Microsoft Sentinel è costituito da componenti della soluzione SIEM (Security Information and Event Management) che consentono ai clienti di inserire dati, monitorare, inviare avvisi, cercare, analizzare, rispondere e connettersi a diversi prodotti, piattaforme e servizi.
Il contenuto in Microsoft Sentinel include uno dei tipi seguenti:
- I connettori dati forniscono l'inserimento di log da origini diverse in Microsoft Sentinel
- I parser forniscono formattazione/trasformazione dei log in formati ASIM (Advanced Security Information Model), supportando l'utilizzo in vari scenari e tipi di contenuto di Microsoft Sentinel
- Le cartelle di lavoro forniscono monitoraggio, visualizzazione e interattività con i dati in Microsoft Sentinel, evidenziando informazioni dettagliate significative per gli utenti
- Le regole di analisi forniscono avvisi che puntano alle azioni SOC pertinenti tramite eventi imprevisti
- Le query di ricerca vengono usate dai team SOC per cercare in modo proattivo le minacce in Microsoft Sentinel
- I Notebook consentono ai team SOC di usare funzionalità di ricerca avanzate in Jupyter e Azure Notebooks
- Gli watchlist supportano l'inserimento di dati specifici per il rilevamento avanzato delle minacce e la riduzione dell'affaticamento degli avvisi
- I playbook e i connettori personalizzati App per la logica di Azure offrono funzionalità per scenari automatizzati di analisi, correzione e risposta in Microsoft Sentinel
Microsoft Sentinel offre questi tipi di contenuto come soluzioni ed elementi autonomi . Le soluzioni sono pacchetti di contenuti di Microsoft Sentinel o integrazioni api di Microsoft Sentinel, che soddisfano uno scenario end-to-end di prodotto, dominio o verticale del settore in Microsoft Sentinel. Sia le soluzioni che gli elementi autonomi sono individuabili e gestiti dall'hub contenuto.
È possibile personalizzare i contenuti predefiniti (OOTB) per le proprie esigenze oppure creare una soluzione personalizzata con il contenuto da condividere con altri utenti della community. Per altre informazioni, vedere la Guida alla compilazione e alla pubblicazione delle soluzioni di Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Individuare e gestire il contenuto di Microsoft Sentinel
Usare l'hub del contenuto di Microsoft Sentinel per individuare e installare centralmente il contenuto esistente (OOTB).
L'hub del contenuto di Microsoft Sentinel offre funzionalità di individuazione dei prodotti, distribuzione in un unico passaggio e abilitazione di soluzioni end-to-end di prodotti, domini e/o contenuti OOTB verticali in Microsoft Sentinel.
Filtrare in base alle categorie e ad altri parametri oppure usare la potente ricerca di testo per trovare il contenuto più adatto alle esigenze dell'organizzazione.
L'hubcontenuto indica anche il modello di supporto applicato a ogni parte di contenuto, poiché alcuni contenuti vengono gestiti da Microsoft e altri vengono gestiti dai partner o dalla community.
Gestire gli aggiornamenti per il contenuto esistente nell'hub contenuto. In alternativa, per il contenuto personalizzato, gestire gli aggiornamenti dalla pagina Repository . Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.
Personalizzare i contenuti predefiniti per le proprie esigenze o creare contenuto personalizzato, tra cui regole di analisi, query di ricerca, notebook, cartelle di lavoro e altro ancora.
Gestire il contenuto personalizzato direttamente nell'area di lavoro di Microsoft Sentinel usando l'API di Microsoft Sentinel o dal proprio repository di controllo del codice sorgente. Per altre informazioni, vedere API di Microsoft Sentinel e Distribuire contenuto personalizzato dal repository.
Perché le soluzioni dell'hub del contenuto?
Le soluzioni di Microsoft Sentinel sono integrazioni in pacchetto che offrono un valore di prodotto end-to-end per uno o più scenari di dominio o verticale nell'hub del contenuto.
L'esperienza delle soluzioni, basata su Azure Marketplace, consente di individuare e distribuire il contenuto desiderato. Per altre informazioni sulla creazione e la pubblicazione di soluzioni in Azure Marketplace, vedere la Guida alla compilazione delle soluzioni di Microsoft Sentinel.
I contenuti in pacchetto sono raccolte di uno o più componenti del contenuto di Microsoft Sentinel, ad esempio connettori dati, cartelle di lavoro, regole di analisi, playbook, query di ricerca, watchlist, parser e altro ancora.
Le Integrazioni includono servizi o strumenti creati usando Microsoft Sentinel o le API di Azure Log Analytics che supportano le integrazioni tra Azure e le applicazioni esistenti dei clienti oppure eseguono la migrazione di dati, query e altro ancora, da tali applicazioni a Microsoft Sentinel.
È anche possibile usare soluzioni per installare pacchetti di contenuti predefiniti (OOTB) in un unico passaggio, in cui il contenuto è spesso pronto per l'uso immediato. I provider e i partner usano soluzioni Sentinel per aggiungere valore agli investimenti dei clienti offrendo valore combinato di prodotto, dominio o valore verticale.
Usare l'hub del contenuto per individuare e distribuire centralmente soluzioni e contenuti OOTB in modo basato su scenari.
Per altre informazioni, vedi:
- Individuare e distribuire centralmente contenuti e soluzioni predefiniti di Microsoft Sentinel
- Catalogo delle soluzioni di Microsoft Sentinel in Azure Marketplace
- Catalogo di Microsoft Sentinel
Categorie per i contenuti e le soluzioni predefiniti di Microsoft Sentinel
I contenuti predefiniti di Microsoft Sentinel possono essere applicati con una o più delle categorie seguenti. Nell'hub contenuto selezionare le categorie da visualizzare per modificare il contenuto visualizzato. È possibile individuare gli elementi recapitati dalla community centralmente nell'hub contenuto come contenuto autonomo o soluzioni.
Categorie di dominio
| Nome categoria | Descrizione |
|---|---|
| Applicazione | Carico di lavoro Web, basato su server, SaaS, database, comunicazioni o produttività |
| Provider di servizi cloud | Servizio cloud |
| Conformità | Prodotti, servizi e protocolli di conformità |
| DevOps | Strumenti e servizi per le operazioni di sviluppo |
| Identità | Integrazioni e provider di servizi di identità |
| internet delle cose (IoT) | Dispositivi IoT, tecnologia operativa (OT) e infrastruttura, servizi di controllo industriale |
| Operazioni IT | Prodotti e servizi che gestiscono l'IT |
| Migrazione | Prodotti, servizi e abilitazione della migrazione |
| Networking | Prodotti, servizi e strumenti di rete |
| Piattaforma | Componenti generici o framework di Microsoft Sentinel, infrastruttura cloud e piattaforma |
| Sicurezza - Altri utenti | Altri prodotti e servizi di sicurezza senza altre categorie chiare |
| Sicurezza - Intelligence per le minacce | Piattaforme di intelligence sulle minacce, feed, prodotti e servizi |
| Sicurezza - Protezione dalle minacce | Protezione dalle minacce, protezione della posta elettronica, rilevamento esteso e risposta (XDR) e prodotti e servizi di Endpoint Protection |
| Sicurezza - Vulnerabilità di 0 giorni | Soluzioni specializzate per attacchi di vulnerabilità zero-day come Nobelium |
| Sicurezza - Automazione (SOAR) | Automazione della sicurezza, SOAR (operazioni di sicurezza e risposte automatizzate), operazioni di sicurezza e prodotti e servizi di risposta agli eventi imprevisti. |
| Sicurezza - Sicurezza cloud | CASB (Cloud Access Service Broker), CWPP (piattaforme di protezione del carico di lavoro cloud), CSPM (gestione del comportamento di sicurezza cloud e altri prodotti e servizi cloud Security) |
| Sicurezza - Information Protection | Protezione delle informazioni e prodotti e servizi di protezione dei documenti |
| Sicurezza - Minaccia Insider | Analisi del comportamento dell'utente e dell'entità Insider per prodotti e servizi di sicurezza |
| Sicurezza - Rete | Dispositivi di rete di sicurezza, firewall, NDR (rilevamento e risposta di rete), NIDP (prevenzione delle intrusioni e rilevamento della rete) e acquisizione di pacchetti di rete |
| Sicurezza - Gestione delle vulnerabilità | Prodotti e servizi di gestione delle vulnerabilità |
| Storage | Archivi file e prodotti e servizi di condivisione file |
| Training ed esercitazioni | Training, esercitazioni e asset di onboarding |
| Comportamento utente (UEBA) | Prodotti e servizi di analisi del comportamento degli utenti |
Categorie verticali del settore
| Nome categoria | Descrizione |
|---|---|
| Aeronautica | Prodotti, servizi e contenuti specifici per l'industria aeronautica |
| Percorso formativo | Prodotti, servizi e contenuti specifici per il settore dell'istruzione |
| Dati finanziari | Prodotti, servizi e contenuti specifici per il settore finanziario |
| Assistenza sanitaria | Prodotti, servizi e contenuti specifici per il settore sanitario |
| Produzione | Prodotti, servizi e contenuti specifici per il settore manifatturiero |
| Vendita al dettaglio | Prodotti, servizi e contenuti specifici per il settore delle vendite al dettaglio |
Modelli di supporto per i contenuti e le soluzioni predefiniti di Microsoft Sentinel
Sia Microsoft che altre organizzazioni creano soluzioni e contenuti predefiniti di Microsoft Sentinel. Ogni parte del contenuto o della soluzione predefinita include uno dei tipi di supporto seguenti:
| Modello di supporto | Descrizione |
|---|---|
| Microsoft supportato | Si applica a: - Contenuto/soluzioni in cui Microsoft è il provider di dati, dove pertinente e autore. - Alcuni contenuti o soluzioni creati da Microsoft per origini dati non Microsoft. Microsoft supporta e gestisce contenuti/soluzioni in questo modello di supporto in base ai piani di supporto di Microsoft Azure. Partner o soluzioni di supporto della community create da qualsiasi parte diversa da Microsoft. |
| Supporto per i partner | Si applica ai contenuti o alle soluzioni create da parti diverse da Microsoft. L'azienda partner fornisce supporto o manutenzione per queste parti di contenuto/soluzioni. La società partner può essere un fornitore di software indipendente, un provider di servizi gestiti (MSP/MSSP), un integratore di sistemi (SI) o qualsiasi organizzazione le cui informazioni di contatto vengono fornite nella pagina di Microsoft Sentinel per il contenuto/soluzioni selezionati. Per eventuali problemi relativi a una soluzione supportata dal partner, contattare il contatto di supporto specificato. |
| Supportato dalla community | Si applica ai contenuti o alle soluzioni create dagli sviluppatori Microsoft o partner senza i contatti elencati per il supporto e la manutenzione in Microsoft Sentinel. Per domande o problemi relativi a queste soluzioni, segnalare un problema nella community GitHub di Microsoft Sentinel. |
Origini di contenuto per il contenuto e le soluzioni di Microsoft Sentinel
Ogni parte di contenuto o soluzione ha una delle origini di contenuto seguenti:
| Origine contenuto | Descrizione |
|---|---|
| Hub contenuto | Soluzioni distribuite dall'hub contenuto che supportano la gestione del ciclo di vita |
| Autonomo | Contenuto autonomo distribuito dall'hub contenuto che viene mantenuto aggiornato automaticamente |
| Personalizzazione | Contenuto o soluzioni personalizzate nell'area di lavoro |
| Contenuto della raccolta | Contenuto delle raccolte di funzionalità che non supportano la gestione del ciclo di vita. Questa origine contenuto verrà ritirato a breve. Per altre informazioni, vedere Modifiche alla centralizzazione del contenuto OOTB. |
| Repository | Contenuto o soluzioni da un repository connesso all'area di lavoro |
Passaggi successivi
Individuare e installare soluzioni e contenuti autonomi dall'hub contenuto nell'area di lavoro di Microsoft Sentinel.
Per altre informazioni, vedi: