Ansluta Microsoft Sentinel till andra Microsoft-tjänster med hjälp av diagnostikinställningarsbaserade anslutningar
Den här artikeln beskriver hur du ansluter till Microsoft Sentinel med hjälp av diagnostikinställningar. Microsoft Sentinel använder Azure Foundation för att tillhandahålla inbyggt service-till-tjänst-stöd för datainmatning från många Azure- och Microsoft 365-tjänster, Amazon Web Services och olika Windows Server-tjänster. Det finns några olika metoder med vilka dessa anslutningar görs.
Den här artikeln innehåller information som är gemensam för den grupp av dataanslutningar som använder diagnostikinställningar baserade på anslutningar. Vissa av dessa typer av anslutningsappar hanteras med hjälp av Azure Policy. Använd de fristående anvisningarna för de andra anslutningsprogrammen av den här typen.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Förutsättningar
Om du vill mata in data i Microsoft Sentinel med en fristående, diagnostikinställningsbaserad anslutningsapp måste du ha läs- och skrivbehörighet på Log Analytics-arbetsytan aktiverad för Microsoft Sentinel.
Om du vill mata in data i Microsoft Sentinel med diagnostikinställningar baserade på anslutningsappar som hanteras av Azure Policy måste du också ha följande förutsättningar:
Om du vill använda Azure Policy för att tillämpa en loggströmningsprincip på dina resurser måste du ha rollen Ägare för principtilldelningsomfånget.
Följande förutsättningar, beroende på vilken anslutningsapp du använder:
Datakoppling Licensiering, kostnader och annan information Azure-aktivitet Den här anslutningsappen använder nu pipelinen för diagnostikinställningar. Om du använder den äldre metoden måste du koppla från befintliga prenumerationer från den äldre metoden innan du konfigurerar den nya azure-aktivitetslogganslutningen.
1. Välj Dataanslutningar på Microsoft Sentinel-navigeringsmenyn. I listan över anslutningsappar väljer du Azure-aktivitet och sedan knappen Öppna anslutningsappens sida längst ned till höger.
2. Under fliken Instruktioner går du till avsnittet Konfiguration i steg 1 och granskar listan över befintliga prenumerationer som är anslutna till den äldre metoden och kopplar från dem på en gång genom att klicka på knappen Koppla från alla nedan.
3. Fortsätt att konfigurera den nya anslutningsappen med anvisningarna i det här avsnittet.Azure DDoS-skydd – Konfigurerad Azure DDoS Standard-skyddsplan.
– Konfigurerat virtuellt nätverk med Azure DDoS Standard aktiverat
- Andra avgifter kan tillkomma
– Status för Azure DDoS Protection Data Connector ändras till Ansluten endast när de skyddade resurserna är under en DDoS-attack.Azure Storage-konto Lagringskontoresursen (överordnad) har andra (underordnade) resurser för varje typ av lagring: filer, tabeller, köer och blobar.
När du konfigurerar diagnostik för ett lagringskonto måste du välja och konfigurera:
– Den överordnade kontoresursen som exporterar transaktionsmåttet .
– Var och en av de underordnade resurserna av lagringstyp och exporterar alla loggar och mått.
Du ser bara de lagringstyper som du faktiskt har definierat resurser för.
Ansluta via en fristående diagnostikinställningsbaserad anslutningsapp
Den här proceduren beskriver hur du ansluter till Microsoft Sentinel med hjälp av dataanslutningar som använder fristående anslutningar baserat på diagnostikinställningar.
På Microsoft Sentinel-navigeringsmenyn väljer du Dataanslutningsprogram.
Välj din resurstyp från galleriet för dataanslutningsappar och välj sedan Öppna anslutningssidan i förhandsgranskningsfönstret.
I avsnittet Konfiguration på anslutningssidan väljer du länken för att öppna resurskonfigurationssidan.
Om du ser en lista över resurser av önskad typ väljer du länken för en resurs vars loggar du vill mata in.
På resursnavigeringsmenyn väljer du Diagnostikinställningar.
Välj + Lägg till diagnostikinställning längst ned i listan.
På skärmen Diagnostikinställningar anger du ett namn i fältet Namn på diagnostikinställningar.
Markera kryssrutan Skicka till Log Analytics . Två nya fält visas under det. Välj relevant prenumeration och Log Analytics-arbetsyta (där Microsoft Sentinel finns).
Markera kryssrutorna för de typer av loggar och mått som du vill samla in. Se våra rekommenderade alternativ för varje resurstyp i avsnittet för resursens anslutningsapp på referenssidan för dataanslutningar.
Välj Spara längst upp på skärmen.
Mer information finns i Skapa diagnostikinställningar för att skicka Azure Monitor-plattformsloggar och mått till olika mål i Azure Monitor-dokumentationen.
Ansluta via en diagnostikinställningsbaserad anslutningsapp som hanteras av Azure Policy
Den här proceduren beskriver hur du ansluter till Microsoft Sentinel med hjälp av dataanslutningar som använder anslutningar som baseras på diagnostikinställningar och hanteras av Azure Policy.
Anslutningsappar av den här typen använder Azure Policy för att tillämpa en enda konfiguration av diagnostikinställningar på en samling resurser av en enda typ, som definieras som ett omfång. Du kan se de loggtyper som matas in från en viss resurstyp till vänster på anslutningssidan för den resursen, under Datatyper.
På Microsoft Sentinel-navigeringsmenyn väljer du Dataanslutningsprogram.
Välj din resurstyp från galleriet för dataanslutningsappar och välj sedan Öppna anslutningssidan i förhandsgranskningsfönstret.
I avsnittet Konfiguration på anslutningssidan expanderar du alla expanderare som du ser där och väljer knappen Starta Azure Policy Assignment-guiden.
Guiden För principtilldelning öppnas, redo att skapa en ny princip, med ett principnamn ifyllt.
På fliken Grundläggande inställningar väljer du knappen med de tre punkterna under Omfång för att välja din prenumeration (och eventuellt en resursgrupp). Du kan också lägga till en beskrivning.
På fliken Parametrar:
- Avmarkera kryssrutan Visa endast parametrar som kräver indata .
- Om du ser fälten Effekt och Inställningsnamn lämnar du dem som de är.
- Välj din Microsoft Sentinel-arbetsyta i listrutan Log Analytics-arbetsyta .
- De återstående listrutefälten representerar tillgängliga typer av diagnostikloggar. Lämna markerat som Sant alla loggtyper som du vill mata in.
Principen tillämpas på resurser som läggs till i framtiden. Om du vill tillämpa principen på dina befintliga resurser markerar du fliken Reparation och markerar kryssrutan Skapa en reparationsaktivitet .
På fliken Granska + skapa klickar du på Skapa. Din princip har nu tilldelats det omfång som du har valt.
Med den här typen av dataanslutningsapp visas anslutningsstatusindikatorerna (en färgremsa i galleriet för dataanslutningsappar och anslutningsikoner bredvid datatypsnamnen) som anslutna (gröna) endast om data har matats in någon gång under de senaste 14 dagarna. När 14 dagar har passerat utan datainmatning visas anslutningsappen som frånkopplad. När mer data kommer returneras den anslutna statusen.
Du kan hitta och fråga efter data för varje resurstyp med hjälp av tabellnamnet som visas i avsnittet för resursens anslutningsapp på referenssidan för dataanslutningsappar. Mer information finns i Skapa diagnostikinställningar för att skicka Azure Monitor-plattformsloggar och -mått till olika mål i Azure Monitor-dokumentationen.
Relaterat innehåll
Mer information finns i: