Szybki start: dołączanie usługi Microsoft Sentinel
W tym przewodniku Szybki start włączysz usługę Microsoft Sentinel i zainstalujesz rozwiązanie z centrum zawartości. Następnie skonfigurujesz łącznik danych, aby rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel.
Usługa Microsoft Sentinel zawiera wiele łączników danych dla produktów firmy Microsoft, takich jak łącznik usługi XDR usługi Microsoft Defender do usługi. Możesz również włączyć wbudowane łączniki dla produktów innych niż Microsoft, takich jak Syslog lub Common Event Format (CEF). W tym przewodniku Szybki start użyjesz łącznika danych aktywności platformy Azure dostępnego w rozwiązaniu aktywność platformy Azure dla usługi Microsoft Sentinel.
Aby dołączyć do usługi Microsoft Sentinel przy użyciu interfejsu API, zobacz najnowszą obsługiwaną wersję stanów dołączania usługi Sentinel.
Wymagania wstępne
Aktywna subskrypcja platformy Azure. Jeśli nie masz subskrypcji, przed rozpoczęciem utwórz bezpłatne konto.
Obszar roboczy usługi Log Analytics. Dowiedz się, jak utworzyć obszar roboczy usługi Log Analytics. Aby uzyskać więcej informacji na temat obszarów roboczych usługi Log Analytics, zobacz Projektowanie wdrożenia dzienników usługi Azure Monitor.
W obszarze roboczym usługi Log Analytics używanym dla usługi Microsoft Sentinel może być domyślnie przechowywana wartość 30 dni . Aby upewnić się, że możesz używać wszystkich funkcji i funkcji usługi Microsoft Sentinel, należy podnieść okres przechowywania do 90 dni. Konfigurowanie zasad przechowywania i archiwizowania danych w dziennikach usługi Azure Monitor.
Uprawnienia:
Aby włączyć usługę Microsoft Sentinel, musisz mieć uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy usługi Microsoft Sentinel.
Aby korzystać z usługi Microsoft Sentinel, musisz mieć uprawnienia współautora usługi Microsoft Sentinel lub czytelnika usługi Microsoft Sentinel w grupie zasobów, do której należy obszar roboczy.
Aby zainstalować rozwiązania w centrum zawartości lub zarządzać nimi, potrzebna jest rola Współautor usługi Microsoft Sentinel w grupie zasobów, do której należy obszar roboczy.
Microsoft Sentinel to płatna usługa. Przejrzyj opcje cennika i stronę cennika usługi Microsoft Sentinel.
Przed wdrożeniem usługi Microsoft Sentinel w środowisku produkcyjnym zapoznaj się z działaniami przed wdrożeniem i wymaganiami wstępnymi dotyczącymi wdrażania usługi Microsoft Sentinel.
Włączanie usługi Microsoft Sentinel
Aby rozpocząć, dodaj usługę Microsoft Sentinel do istniejącego obszaru roboczego lub utwórz nowy.
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Microsoft Sentinel.
Wybierz pozycję Utwórz.
Wybierz obszar roboczy, którego chcesz użyć, lub utwórz nowy. Usługę Microsoft Sentinel można uruchomić w więcej niż jednym obszarze roboczym, ale dane są izolowane do jednego obszaru roboczego.
- Domyślne obszary robocze utworzone przez Microsoft Defender dla Chmury nie są wyświetlane na liście. Nie można zainstalować usługi Microsoft Sentinel w tych obszarach roboczych.
- Po wdrożeniu w obszarze roboczym usługa Microsoft Sentinel nie obsługuje przenoszenia tego obszaru roboczego do innej grupy zasobów ani subskrypcji.
Wybierz Dodaj.
Instalowanie rozwiązania z centrum zawartości
Centrum zawartości w usłudze Microsoft Sentinel to scentralizowana lokalizacja do odnajdywania gotowej zawartości i zarządzania nią, w tym łączników danych. Na potrzeby tego przewodnika Szybki start zainstaluj rozwiązanie dla działania platformy Azure.
W usłudze Microsoft Sentinel wybierz pozycję Centrum zawartości.
Znajdź i wybierz rozwiązanie Działania platformy Azure.
Na pasku narzędzi w górnej części strony wybierz pozycję Zainstaluj/Aktualizuj.
Konfigurowanie łącznika danych
Usługa Microsoft Sentinel pozyskuje dane z usług i aplikacji, łącząc się z usługą i przekazując zdarzenia i dzienniki do usługi Microsoft Sentinel. Na potrzeby tego przewodnika Szybki start zainstaluj łącznik danych, aby przekazywać dane dla działania platformy Azure do usługi Microsoft Sentinel.
W usłudze Microsoft Sentinel wybierz pozycję Łączniki danych.
Wyszukaj i wybierz łącznik danych aktywności platformy Azure.
W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.
Przejrzyj instrukcje konfigurowania łącznika.
Wybierz pozycję Uruchom Kreatora przypisania usługi Azure Policy.
Na karcie Podstawy ustaw pozycję Zakres na subskrypcję i grupę zasobów, która ma działanie do wysłania do usługi Microsoft Sentinel. Na przykład wybierz subskrypcję zawierającą wystąpienie usługi Microsoft Sentinel.
Wybierz kartę Parametry.
Ustaw podstawowy obszar roboczy usługi Log Analytics. Powinien to być obszar roboczy, w którym zainstalowano usługę Microsoft Sentinel.
Wybierz pozycję Przeglądanie + tworzenie i pozycję Utwórz.
Generowanie danych działań
Wygenerujmy dane aktywności, włączając regułę, która została uwzględniona w rozwiązaniu Działania platformy Azure dla usługi Microsoft Sentinel. W tym kroku pokazano również, jak zarządzać zawartością w centrum zawartości.
W usłudze Microsoft Sentinel wybierz pozycję Centrum zawartości.
Znajdź i wybierz rozwiązanie Działania platformy Azure.
W okienku po prawej stronie wybierz pozycję Zarządzaj.
Znajdź i wybierz szablon reguły Podejrzane wdrożenie zasobów.
Wybierz pozycję Konfiguracja.
Wybierz regułę i utwórz regułę.
Na karcie Ogólne zmień ustawienie Stan na włączone. Pozostaw pozostałe wartości domyślne.
Zaakceptuj wartości domyślne na innych kartach.
Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.
Wyświetlanie danych pozyskanych do usługi Microsoft Sentinel
Po włączeniu łącznika danych aktywności platformy Azure i wygenerowaniu niektórych danych działań wyświetlmy dane działań dodane do obszaru roboczego.
W usłudze Microsoft Sentinel wybierz pozycję Łączniki danych.
Wyszukaj i wybierz łącznik danych aktywności platformy Azure.
W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.
Przejrzyj stan łącznika danych. Powinien mieć wartość Połączono.
W okienku po lewej stronie nad wykresem wybierz pozycję Przejdź do analizy dzienników.
W górnej części okienka obok karty Nowe zapytanie 1 wybierz + kartę , aby dodać nową kartę zapytania.
W okienku zapytania uruchom następujące zapytanie, aby wyświetlić datę działania pozyskaną do obszaru roboczego.
AzureActivity
Następne kroki
W tym przewodniku Szybki start włączono usługę Microsoft Sentinel i zainstalowano rozwiązanie z centrum zawartości. Następnie skonfigurujesz łącznik danych, aby rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel. Sprawdzono również, że dane są pozyskiwane, wyświetlając dane w obszarze roboczym.
- Aby zwizualizować zebrane dane przy użyciu pulpitów nawigacyjnych i skoroszytów, zobacz Wizualizacja zebranych danych.
- Aby wykrywać zagrożenia przy użyciu reguł analizy, zobacz Samouczek: wykrywanie zagrożeń przy użyciu reguł analizy w usłudze Microsoft Sentinel.