Verwalten eines Microsoft Sentinel-Arbeitsbereichs

  • 6 Minuten

Melden Sie sich beim Azure-Portal an, nachdem Sie die Arbeitsbereichsarchitektur entworfen haben. Suchen Sie auf der Suchleiste nach „Sentinel“, und wählen Sie dann Microsoft Sentinel aus. Die Microsoft Sentinel-Arbeitsbereiche zeigen eine Liste der aktuellen Arbeitsbereiche an. Klicken Sie auf die Schaltfläche (+ Hinzufügen), um den Erstellungsprozess zu starten.

Hinweis

Wenn Sie sich dafür entscheiden, diese Übung durchzuführen, denken Sie daran, dass in Ihrem Azure-Abonnement Kosten anfallen können. Informationen zum Schätzen der Kosten finden Sie unter Microsoft Sentinel – Preise. Wir haben auch eine interaktive Labsimulation nach der Übung integriert.

Voraussetzungen für die Microsoft Sentinel-Installation

Sie müssen für das Abonnement, in dem sich der Microsoft Sentinel-Arbeitsbereich befindet, über die Berechtigungen der Rolle „Mitwirkender“ verfügen, um Microsoft Sentinel aktivieren zu können. Für die Ressourcengruppe, zu der der Arbeitsbereich gehört, benötigen Sie Berechtigungen entweder für Mitwirkende oder für Leser, um Microsoft Sentinel zu verwenden.

Erstellen und Konfigurieren eines Log Analytics-Arbeitsbereichs

  1. Auf der nächsten Seite, Hinzufügen von Microsoft Sentinel zu einem Arbeitsbereich, wird eine Liste der verfügbaren Log Analytics-Arbeitsbereiche zum Hinzufügen von Microsoft Sentinel angezeigt. Klicken Sie auf die Schaltfläche + Neuen Arbeitsbereich erstellen, um den Prozess „Log Analytics-Arbeitsbereich erstellen“ zu starten.

  2. Die Registerkarte „Grundlagen“ enthält die folgenden Optionen:

    Option BESCHREIBUNG
    Subscription Auswählen des Abonnements
    Ressourcengruppe Auswählen oder Erstellen einer Ressourcengruppe
    name „Name“ ist der Name des Log Analytics-Arbeitsbereichs und auch der Name Ihres Microsoft Sentinel-Arbeitsbereichs.
    Region Die Region ist der Speicherort, an dem die Protokolldaten gespeichert werden.

    Wichtig

    Der Name ist der Name des Microsoft Sentinel-Arbeitsbereichs. Der Microsoft Sentinel-Name ist standardmäßig der Name des Log Analytics-Arbeitsbereichs. Die Region ist der Speicherort, an dem die erfassten Daten gespeichert werden. Der Speicherort der Daten hat Auswirkungen auf die Data Governance-Anforderungen. Arbeitsbereiche können nicht von einer Region in eine andere verschoben werden. Bei einer erforderlichen Änderung der Regionsoption muss der Arbeitsbereich neu erstellt werden.

  3. Klicken Sie auf Überprüfen + Erstellen und dann Erstellen.

Hinzufügen von Microsoft Sentinel zum Arbeitsbereich

Nach dem Ausführen der vorherigen Schritte wird der Bildschirm „Microsoft-Sentinel zu Arbeitsbereich hinzufügen“ angezeigt.

  1. Warten Sie, bis der neu erstellte Log Analytics-Arbeitsbereich in der Liste angezeigt wird. Dieser Vorgang kann einige Minuten dauern.

  2. Wählen Sie den erstellten Log Analytics-Arbeitsbereich aus. Klicken Sie anschließend auf die Schaltfläche Hinzufügen.

Der neue Microsoft Sentinel-Arbeitsbereich ist nun der aktive Bildschirm. Der linke Navigationsbereich von Microsoft Sentinel besteht aus vier Bereichen:

  • Allgemein
  • Verwaltung von Bedrohungen
  • Content Management
  • Konfiguration

Auf der Registerkarte „Übersicht“ wird ein Standarddashboard mit Informationen zu den erfassten Daten, Warnungen und Vorfällen angezeigt.

Interaktive Labsimulation

Hinweis

Klicken Sie auf das Miniaturbild, um die Labsimulation zu starten. Wenn Sie fertig sind, müssen Sie zu dieser Seite zurückkehren, damit Sie weiterlernen können.

Screenshot of the lab simulation page.

Microsoft Sentinel-Nutzung eines Log Analytics-Arbeitsbereichs

Da der Microsoft Sentinel-Arbeitsbereich einen Log Analytics-Arbeitsbereich verwendet, können Sie den Sentinel-Arbeitsbereich in einem Log Analytics-Arbeitsbereich aktivieren, der von anderen Lösungen verwendet wird. Im gängigsten Szenario ist dies ein Log Analytics-Arbeitsbereich, der von Microsoft Defender für Cloud verwendet wird. Durch die Freigabe des Arbeitsbereichs kann ein zentraler Arbeitsbereich Sicherheitsdaten abfragen.

Microsoft Defender für Cloud

Beim Erstellen Ihres Microsoft Sentinel-Arbeitsbereichs dürfen Sie nicht den Log Analytics-Standardarbeitsbereich von Microsoft Defender für Cloud verwenden. Sie müssen einen Log Analytics-Arbeitsbereich manuell erstellen und dann die Microsoft Defender für Cloud-Ebene aktualisieren. Jetzt können Sie den manuell erstellten Log Analytics-Arbeitsbereich für Microsoft Defender für Cloud auswählen.