Łączenie usługi Microsoft Sentinel z innymi usługi firmy Microsoft przy użyciu połączeń opartych na ustawieniach diagnostycznych
W tym artykule opisano sposób nawiązywania połączenia z usługą Microsoft Sentinel przy użyciu połączeń ustawień diagnostycznych. Usługa Microsoft Sentinel korzysta z podstaw platformy Azure, aby zapewnić wbudowaną obsługę usług do obsługi pozyskiwania danych z wielu usług platformy Azure i platformy Microsoft 365, usług Amazon Web Services i różnych usług systemu Windows Server. Istnieje kilka różnych metod, za pomocą których te połączenia są wykonywane.
W tym artykule przedstawiono informacje wspólne dla grupy łączników danych korzystających z połączeń opartych na ustawieniach diagnostycznych. Niektóre z tych typów łączników są zarządzane przy użyciu usługi Azure Policy. W przypadku innych łączników tego typu użyj instrukcji autonomicznych.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Wymagania wstępne
Aby pozyskiwać dane do usługi Microsoft Sentinel przy użyciu autonomicznego łącznika opartego na ustawieniach diagnostycznych, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Log Analytics włączonym dla usługi Microsoft Sentinel.
Aby pozyskiwać dane do usługi Microsoft Sentinel przy użyciu łączników opartych na ustawieniach diagnostycznych zarządzanych przez usługę Azure Policy, należy również spełnić następujące wymagania wstępne:
Aby za pomocą usługi Azure Policy zastosować zasady przesyłania strumieniowego dzienników do zasobów, musisz mieć rolę Właściciel dla zakresu przypisania zasad.
Następujące wymagania wstępne, w zależności od używanego łącznika:
Łącznik danych Licencjonowanie, koszty i inne informacje Działanie platformy Azure Ten łącznik używa teraz potoku ustawień diagnostycznych. Jeśli używasz starszej metody, musisz odłączyć istniejące subskrypcje od starszej metody przed skonfigurowaniem nowego łącznika dziennika aktywności platformy Azure.
1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Z listy łączników wybierz pozycję Aktywność platformy Azure, a następnie wybierz przycisk Otwórz łącznik w prawym dolnym rogu.
2. Na karcie Instrukcje w sekcji Konfiguracja w kroku 1 przejrzyj listę istniejących subskrypcji, które są połączone ze starszą metodą, i odłącz je wszystkie jednocześnie, klikając przycisk Odłącz wszystko poniżej.
3. Kontynuuj konfigurowanie nowego łącznika, zgodnie z instrukcjami w tej sekcji.Ochrona przed atakami DDoS — Skonfigurowany plan ochrony usługi Azure DDoS w warstwie Standardowa.
— Skonfigurowano sieć wirtualną z włączoną usługą Azure DDoS w warstwie Standardowa
- Mogą obowiązywać inne opłaty
— Stan łącznika danych usługi Azure DDoS Protection zmienia się na Połączony tylko wtedy, gdy chronione zasoby są objęte atakiem DDoS.Konto magazynu platformy Azure Zasób konta magazynu (nadrzędnego) zawiera w nim inne (podrzędne) zasoby dla każdego typu magazynu: pliki, tabele, kolejki i obiekty blob.
Podczas konfigurowania diagnostyki dla konta magazynu należy wybrać i skonfigurować:
— Zasób konta nadrzędnego, eksportując metryki Transakcja .
— Każdy z podrzędnych zasobów typu magazynu, eksportując wszystkie dzienniki i metryki.
Zobaczysz tylko typy magazynów, dla których zostały zdefiniowane zasoby.
Nawiązywanie połączenia za pośrednictwem autonomicznego łącznika opartego na ustawieniach diagnostycznych
W tej procedurze opisano sposób nawiązywania połączenia z usługą Microsoft Sentinel przy użyciu łączników danych korzystających z połączeń autonomicznych na podstawie ustawień diagnostycznych.
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych.
Wybierz typ zasobu z galerii łączników danych, a następnie wybierz pozycję Otwórz stronę łącznika w okienku podglądu.
W sekcji Konfiguracja na stronie łącznika wybierz link, aby otworzyć stronę konfiguracji zasobu.
Jeśli zostanie wyświetlona lista zasobów żądanego typu, wybierz link dla zasobu, którego dzienniki chcesz pozyskać.
W menu nawigacji zasobów wybierz pozycję Ustawienia diagnostyczne.
Wybierz pozycję + Dodaj ustawienie diagnostyczne w dolnej części listy.
Na ekranie Ustawienia diagnostyki wprowadź nazwę w polu Nazwa ustawień diagnostycznych.
Zaznacz pole wyboru Wyślij do usługi Log Analytics. Poniżej zostaną wyświetlone dwa nowe pola. Wybierz odpowiednią subskrypcję i obszar roboczy usługi Log Analytics (gdzie znajduje się usługa Microsoft Sentinel).
Zaznacz pola wyboru typów dzienników i metryk, które chcesz zebrać. Zapoznaj się z naszymi zalecanymi opcjami dla każdego typu zasobu w sekcji łącznika zasobu na stronie dokumentacji łączników danych.
Wybierz pozycję Zapisz w górnej części ekranu.
Aby uzyskać więcej informacji, zobacz również Tworzenie ustawień diagnostycznych w celu wysyłania dzienników i metryk platformy Azure Monitor do różnych miejsc docelowych w dokumentacji usługi Azure Monitor.
Nawiązywanie połączenia za pośrednictwem łącznika opartego na ustawieniach diagnostycznych zarządzanego przez usługę Azure Policy
W tej procedurze opisano sposób nawiązywania połączenia z usługą Microsoft Sentinel przy użyciu łączników danych korzystających z połączeń opartych na ustawieniach diagnostycznych i zarządzanych przez usługę Azure Policy.
Łączniki tego typu używają usługi Azure Policy do zastosowania jednej konfiguracji ustawień diagnostycznych do kolekcji zasobów pojedynczego typu zdefiniowanej jako zakres. Typy dzienników pozyskane z danego typu zasobu można zobaczyć po lewej stronie strony łącznika dla tego zasobu w obszarze Typy danych.
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych.
Wybierz typ zasobu z galerii łączników danych, a następnie wybierz pozycję Otwórz stronę łącznika w okienku podglądu.
W sekcji Konfiguracja na stronie łącznika rozwiń wszystkie widoczne tam rozszerzenia i wybierz przycisk Kreatora uruchamiania przypisania usługi Azure Policy.
Zostanie otwarty kreator przypisania zasad, gotowy do utworzenia nowych zasad z wstępnie wypełniona nazwą zasad.
Na karcie Podstawowe wybierz przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję (i opcjonalnie grupę zasobów). Możesz również dodać opis.
Na karcieParametry:
- Wyczyść pole wyboru Pokaż tylko parametry, które wymagają danych wejściowych.
- Jeśli zostaną wyświetlone pola Nazwa efektu i ustawienia , pozostaw je tak, jak to jest.
- Wybierz obszar roboczy usługi Microsoft Sentinel z listy rozwijanej Obszar roboczy usługi Log Analytics.
- Pozostałe pola listy rozwijanej reprezentują dostępne typy dzienników diagnostycznych. Pozostaw wartość True dla wszystkich typów dzienników, które chcesz pozyskać.
Zasady zostaną zastosowane do zasobów dodanych w przyszłości. Aby zastosować również zasady dotyczące istniejących zasobów, zaznacz kartę Korygowanie i zaznacz pole wyboru Utwórz zadanie korygowania.
Na karcie Przeglądanie + tworzenie kliknij pozycję Utwórz. Twoje zasady są teraz przypisywane do wybranego zakresu.
W przypadku tego typu łącznika danych wskaźniki stanu łączności (pasek kolorów w galerii łączników danych i ikony połączeń obok nazw typów danych) są wyświetlane jako połączone (zielone) tylko wtedy, gdy dane zostały pozyskane w pewnym momencie w ciągu ostatnich 14 dni. Po upływie 14 dni bez pozyskiwania danych łącznik jest wyświetlany jako odłączony. W chwili, gdy pojawi się więcej danych, zostanie zwrócony stan połączenia .
Dane dla każdego typu zasobu można znaleźć i wykonać względem nich zapytania, używając nazwy tabeli wyświetlanej w sekcji dotyczącej łącznika zasobu na stronie dokumentacji łączników danych. Aby uzyskać więcej informacji, zobacz Create diagnostic settings to send Azure Monitor platform logs and metrics to different destinations (Tworzenie ustawień diagnostycznych w celu wysyłania dzienników i metryk platformy Azure Monitor do różnych miejsc docelowych) w dokumentacji usługi Azure Monitor.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: