介绍
Microsoft Sentinel 内容 是安全信息和事件管理(SIEM)内容,使客户能够在 Microsoft Sentinel 中引入数据、监视、警报、搜寻、调查、响应和连接不同的产品、平台和服务。
Microsoft Sentinel 中的内容包括以下任何类型:
- 数据连接器 支持从不同源将日志引入到 Microsoft Sentinel 中
- 分析器可将日志格式设置/转换为 ASIM 格式,支持在各种 Microsoft Sentinel 内容类型和方案中使用
- 工作簿提供了对 Microsoft Sentinel 中数据的监视、可视化和交互,为用户突出显示有意义的见解
- 分析规则通过事件提供指向相关 SOC 操作的警报
- SOC 团队使用搜寻查询主动搜寻Microsoft Sentinel 中的威胁
- 笔记本 可帮助 SOC 团队在 Jupyter 和 Azure Notebooks 中使用高级搜寻功能
- 监视列表 支持引入特定数据以增强威胁检测并减少警报疲劳
- Playbook 和 Azure 逻辑应用自定义连接器为 Microsoft Sentinel 中的自动调查、修正和响应方案提供功能
若要维护 Microsoft Sentinel 中的内容,请使用:
- 内容中心:- Microsoft Sentinel 解决方案 是Microsoft Sentinel 内容或Microsoft Sentinel API 集成的包,它实现了Microsoft Sentinel 中的端到端产品、域或行业垂直方案。
- 存储库:- 存储库可帮助你通过中央存储库自动部署和管理 Microsoft Sentinel 内容。
- 社区:按需集成社区内容以支持您的场景。 GitHub 存储库 https://github.com/Azure/Azure-Sentinel 包含由Microsoft和社区提供的内容,这些内容已经过测试,并可供你在 Sentinel 工作区中实现。
你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 需要从供应商安装连接器和分析规则。 你还创建了一个需要跨多个环境维护的搜寻查询库。
在本模块结束时,你将能够管理 Microsoft Sentinel 中的内容。
完成本模块后,你将能够:
- 在 Microsoft Sentinel 中安装内容中心解决方案
- 将 GitHub 存储库连接到 Microsoft Sentinel