Подключение Microsoft Sentinel к другим службы Майкрософт с помощью подключений на основе параметров диагностики
В этой статье описывается, как подключиться к Microsoft Sentinel с помощью подключений параметров диагностики. Microsoft Sentinel использует основу Azure для предоставления встроенной поддержки между службами для приема данных из многих служб Azure и Microsoft 365, Amazon Web Services и различных служб Windows Server. Существует несколько различных методов, с помощью которых эти подключения создаются.
В этой статье представлены сведения, которые являются общими для группы соединителей данных, использующих подключения на основе параметров диагностики. Некоторые из этих типов соединителей управляются с помощью Политика Azure. Для других соединителей этого типа используйте автономные инструкции.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Необходимые компоненты
Для приема данных в Microsoft Sentinel с помощью автономного соединителя на основе параметров диагностики необходимо иметь разрешения на чтение и запись в рабочей области Log Analytics, включенной для Microsoft Sentinel.
Для приема данных в Microsoft Sentinel с помощью соединителей на основе параметров диагностики, управляемых Политика Azure, необходимо также иметь следующие предварительные требования:
Чтобы использовать политику Azure для применения политики потоковой передачи журналов к вашим ресурсам, у вас должна быть роль владельца для области назначения политики.
Следующие предварительные требования зависят от того, какой соединитель вы используете:
Соединитель данных Лицензирование, затраты и другие сведения Действия Azure Теперь этот соединитель использует конвейер параметров диагностики. Если вы используете устаревший метод, необходимо отключить существующие подписки от устаревшего метода перед настройкой нового соединителя журнала действий Azure.
1. В меню навигации Microsoft Sentinel выберите соединители данных. В списке соединителей выберите Действие Azure, а затем нажмите кнопку Открыть страницу соединителя в правом нижнем углу.
2. На вкладке "Инструкции" в разделе "Конфигурация" на шаге 1 просмотрите список существующих подписок, подключенных к устаревшему методу, и отключите их одновременно, нажав кнопку "Отключить все" ниже.
3. Продолжайте настройку нового соединителя с инструкциями в этом разделе.Защита от атак DDoS Azure — Настроен план защиты от атак DDoS уровня "Стандартный" Azure.
— Настроенная виртуальная сеть с поддержкой DDoS Azure Уровня "Стандартный"
- Другие расходы могут применяться
— Состояние соединителя данных защиты от атак DDoS Azure изменяется на подключенное только в том случае, если защищенные ресурсы находятся под атакой DDoS.Учетная запись хранения Azure Ресурс учетной записи хранения (родительский) включает другие (дочерние) элементы для каждого типа хранилища: файлов, таблиц, очередей и больших двоичных объектов.
При настройке диагностика для учетной записи хранения необходимо выбрать и настроить следующее:
— Ресурс родительской учетной записи, экспорт метрики транзакций.
— Каждый из дочерних ресурсов типа хранилища, экспортируя все журналы и метрики.
Вам будут видны только те типы хранилищ, для которых фактически определены ресурсы.
Подключение через автономный соединитель параметров диагностики
В этой процедуре описывается, как подключиться к Microsoft Sentinel с помощью соединителей данных, использующих автономные подключения на основе параметров диагностики.
В меню навигации Microsoft Sentinel выберите Соединители данных.
Выберите тип ресурса в галерее соединителей данных, после чего выберите Открыть страницу соединителя на панели предварительного просмотра.
В разделе Конфигурация страницы соединителя выберите ссылку, чтобы открыть страницу конфигурации ресурса.
Если представлен список ресурсов желаемого типа, выберите ссылку для ресурса, журналы которого вы хотите принять.
В меню навигации по ресурсам выберите Параметры диагностики.
Выберите + Добавить параметр диагностики в нижней части списка.
На экране Настройки диагностики введите имя в поле Имя настроек диагностики.
Установите флажок Отправить в Log Analytics. Под ним отображаются два новых поля. Выберите подходящую подписку и рабочую область Log Analytics (где находится Microsoft Sentinel).
Установите флажки для типов журналов и показателей, которые требуется получить. Ознакомьтесь с нашими рекомендуемыми вариантами выбора для каждого типа ресурса в разделе соединителя ресурса на странице Справка по соединителям данных.
Выберите Сохранить в верхней части экрана.
Дополнительные сведения см. также в статье Создание параметров диагностики для отправки журналов и метрик платформы из Azure Monitor в разные места назначения в документации по Azure Monitor.
Подключение через соединитель на основе параметров диагностики, управляемый Политика Azure
В этой процедуре описывается, как подключиться к Microsoft Sentinel с помощью соединителей данных, использующих подключения, основанные на параметрах диагностики и управляемых Политика Azure.
Соединители этого типа используют политику Azure для применения одной конфигурации диагностических параметров к коллекции ресурсов одного типа, определенного как область. Вы можете увидеть типы журналов, полученные из данного типа ресурса, в левой части страницы соединителя для этого ресурса в разделе Типы данных.
В меню навигации Microsoft Sentinel выберите Соединители данных.
Выберите тип ресурса в галерее соединителей данных, после чего выберите Открыть страницу соединителя на панели предварительного просмотра.
В разделе Конфигурация страницы соединителя разверните все модули расширения, которые вы видите там, и нажмите кнопку Запустить мастер назначения политики Azure.
Откроется мастер назначения политик, готовый к созданию новой политики с предварительно заполненным именем политики.
На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку (и, при необходимости, группу ресурсов). Вы также можете добавить описание.
На вкладке Параметры:
- Снимите флажок с Показывать только параметры, требующие ввода.
- Если вы видите поля Эффект и Название настройки, оставьте их как есть.
- Выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics.
- В остальных пунктах раскрывающегося списка показаны доступные типы журналов диагностики. Оставьте помеченные как True все типы журналов, которые вы хотите принять.
Политика будет применена к ресурсам, добавленным в будущем. Чтобы применить политику к существующим ресурсам, откройте вкладку Исправление и установите флажок Создать задачу исправления.
На вкладке Review + create (Проверить и создать) щелкните Создать. Теперь ваша политика назначена выбранной области.
В этом типе соединителя данных индикаторы состояния подключения (цветовая полоса в коллекции соединителей данных и значки подключения рядом с именами типов данных) отображаются как подключенные (зеленые) только в том случае, если данные были приняты в какой-то момент за последние 14 дней. После 14 дней без приема данных соединитель отображается как отключенный. На момент получения дополнительных данных состояние подключения возвращается.
Вы можете найти и запросить данные для каждого типа ресурса, используя имя таблицы, которое отображается в разделе для коннектора ресурса на странице Справка по соединителям данных. Дополнительные сведения см. в статье Создание параметров диагностики для отправки журналов и метрик платформы из Azure Monitor в разные места назначения в документации по Azure Monitor.
Связанный контент
Дополнительные сведения см. в разделе: