Sdílet prostřednictvím

Připojení Microsoft Sentinelu k jiným služby Microsoft pomocí připojení založených na nastavení diagnostiky

  • Článek

Tento článek popisuje, jak se připojit k Microsoft Sentinelu pomocí připojení nastavení diagnostiky. Microsoft Sentinel používá základ Azure k poskytování integrované podpory služeb pro příjem dat z mnoha služeb Azure a Microsoft 365, Amazon Web Services a různých služeb Windows Serveru. Existuje několik různých metod, kterými jsou tato připojení provedena.

Tento článek obsahuje informace, které jsou společné pro skupinu datových konektorů, které používají připojení založená na nastavení diagnostiky. Některé z těchto typů konektorů se spravují pomocí Azure Policy. Pro ostatní konektory tohoto typu použijte samostatné pokyny.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Požadavky

Pokud chcete ingestovat data do Microsoft Sentinelu pomocí samostatného konektoru založeného na nastavení diagnostiky, musíte mít oprávnění ke čtení a zápisu v pracovním prostoru služby Log Analytics povoleném pro Microsoft Sentinel.

Pokud chcete ingestovat data do Služby Microsoft Sentinel pomocí konektorů založených na nastavení diagnostiky spravovaných službou Azure Policy, musíte mít také následující požadavky:

  • Pokud chcete použít Azure Policy k použití zásad streamování protokolů pro vaše prostředky, musíte mít roli Vlastník pro obor přiřazení zásad.

  • V závislosti na používaném konektoru:

    Datový konektor Licencování, náklady a další informace
    Aktivita Azure Tento konektor teď používá kanál nastavení diagnostiky. Pokud používáte starší verzi metody, musíte před nastavením nového konektoru protokolu aktivit Azure odpojit stávající předplatná od starší metody.

    1. V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory. V seznamu konektorů vyberte Aktivitu Azure a pak vyberte tlačítko Otevřít konektor vpravo dole.
    2. Na kartě Pokyny v části Konfigurace v kroku 1 zkontrolujte seznam stávajících předplatných, které jsou připojeny ke starší metodě, a odpojte je všechny najednou kliknutím na tlačítko Odpojit vše níže.
    3. Pokračujte v nastavování nového konektoru podle pokynů v této části.
    Ochrana Azure DDoS – Nakonfigurovaný plán ochrany Azure DDoS Standard.
    – Nakonfigurovaná virtuální síť s povolenou službou Azure DDoS Standard
    - Mohou se účtovat další poplatky.
    – Stav datového konektoru Azure DDoS Protection se změní na Připojený jenom v případě, že chráněné prostředky jsou pod útokem DDoS.
    Účet služby Azure Storage Účet úložiště (nadřazený) prostředek má v sobě další (podřízené) prostředky pro každý typ úložiště: soubory, tabulky, fronty a objekty blob.
    Při konfiguraci diagnostiky pro účet úložiště musíte vybrat a nakonfigurovat:

    – Prostředek nadřazeného účtu exportující metriku Transakce .
    – Každý z podřízených prostředků typu úložiště exportuje všechny protokoly a metriky.

    Uvidíte jenom typy úložiště, pro které jste ve skutečnosti definovali prostředky.

Připojení prostřednictvím samostatného konektoru založeného na nastavení diagnostiky

Tento postup popisuje, jak se připojit k Microsoft Sentinelu pomocí datových konektorů, které používají samostatná připojení na základě nastavení diagnostiky.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory.

  2. V galerii datových konektorů vyberte typ prostředku a pak v podokně náhledu vyberte Otevřít stránku konektoru.

  3. V části Konfigurace na stránce konektoru vyberte odkaz pro otevření stránky konfigurace prostředku.

    Pokud se zobrazí seznam prostředků požadovaného typu, vyberte odkaz pro prostředek, jehož protokoly chcete ingestovat.

  4. V navigační nabídce prostředku vyberte Nastavení diagnostiky.

  5. V dolní části seznamu vyberte + Přidat nastavení diagnostiky.

  6. Na obrazovce Nastavení diagnostiky zadejte název do pole Název nastavení diagnostiky.

    Zaškrtněte políčko Odeslat do Log Analytics . Pod ním se zobrazí dvě nová pole. Zvolte příslušný pracovní prostor předplatného a služby Log Analytics (kde se nachází Microsoft Sentinel).

  7. Označte políčka typů protokolů a metrik, které chcete shromažďovat. Podívejte se na naše doporučené volby pro jednotlivé typy prostředků v části konektoru prostředku na stránce s referenčními informacemi o datových konektorech.

  8. V horní části obrazovky vyberte Uložit .

Další informace najdete také v tématu Vytvoření nastavení diagnostiky pro odesílání protokolů a metrik platformy Azure Monitor do různých cílů v dokumentaci ke službě Azure Monitor.

Připojení přes konektor založený na nastavení diagnostiky spravovaný službou Azure Policy

Tento postup popisuje, jak se připojit ke službě Microsoft Sentinel pomocí datových konektorů, které používají připojení založená na nastavení diagnostiky a spravuje je služba Azure Policy.

Konektory tohoto typu používají Azure Policy k použití jedné konfigurace nastavení diagnostiky na kolekci prostředků jednoho typu definovaného jako obor. Typy protokolů přijatých z daného typu prostředku můžete zobrazit na levé straně stránky konektoru pro daný prostředek v části Datové typy.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory.

  2. V galerii datových konektorů vyberte typ prostředku a pak v podokně náhledu vyberte Otevřít stránku konektoru.

  3. V části Konfigurace na stránce konektoru rozbalte všechny rozbalovací moduly, které se tam zobrazí, a vyberte tlačítko Průvodce spuštěním přiřazení služby Azure Policy.

    Otevře se průvodce přiřazením zásad připraveným k vytvoření nové zásady s předem vyplněným názvem zásady.

    1. Na kartě Základy vyberte tlačítko se třemi tečkami v části Obor a zvolte předplatné (a volitelně skupinu prostředků). Můžete také přidat popis.

    2. Na kartě Parametry:

      • Zrušte zaškrtnutí políčka Zobrazit pouze parametry, které vyžadují zadání .
      • Pokud se zobrazí pole Název efektu a nastavení , ponechte je tak, jak jsou.
      • V rozevíracím seznamu pracovního prostoru služby Log Analytics zvolte pracovní prostor Služby Microsoft Sentinel.
      • Zbývající rozevírací pole představují dostupné typy diagnostických protokolů. Všechny typy protokolů, které chcete ingestovat, ponechte označené jako True .

    3. Zásady se použijí na prostředky přidané v budoucnu. Pokud chcete zásady použít i u stávajících prostředků, zaškrtněte kartu Náprava a zaškrtněte políčko Vytvořit úlohu nápravy.

    4. Na kartě Revize a vytvoření klikněte na Vytvořit. Vaše zásada se teď přiřadí k zvolenému oboru.

U tohoto typu datového konektoru se indikátory stavu připojení (barevný pruh v galerii datových konektorů a ikonách připojení vedle názvů datových typů) zobrazují jako připojené (zelené) jenom v případě, že se data v určitém okamžiku v určitém okamžiku ingestovala za posledních 14 dnů. Po uplynutí 14 dnů bez příjmu dat se konektor zobrazí jako odpojený. V okamžiku, kdy přicházejí další data, vrátí se stav připojení .

K vyhledání a dotazování dat pro každý typ prostředku můžete použít název tabulky, který se zobrazí v části konektoru prostředku na referenční stránce Datové konektory. Další informace najdete v tématu Vytvoření nastavení diagnostiky pro odesílání protokolů platformy a metrik Azure Monitoru do různých cílů v dokumentaci ke službě Azure Monitor.

Související obsah

Další informace naleznete v tématu: