使用診斷設定型連線將 Microsoft Sentinel 連線至其他 Microsoft 服務
本文說明如何使用診斷設定連線來連線到 Microsoft Sentinel。 Microsoft Sentinel 使用 Azure 基礎來提供內建的服務對服務支援,以從許多 Azure 和 Microsoft 365 服務、Amazon Web Services 和各種 Windows Server 服務中擷取。 有一些不同的方法,這些連接是透過這些方法建立的。
本文提供使用診斷設定型連線的資料連接器群組通用的資訊。 其中某些類型的連接器是使用 Azure 原則進行管理。 針對此類型的其他連接器,請使用獨立指示。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
必要條件
若要使用獨立、診斷設定型連接器將數據內嵌至 Microsoft Sentinel,您必須在已啟用 Microsoft Sentinel 的 Log Analytics 工作區上擁有讀取和寫入許可權。
若要使用 Azure 原則 所管理的診斷設定型連接器將數據內嵌至 Microsoft Sentinel,您也必須具備下列必要條件:
若要使用 Azure 原則將記錄串流原則套用至您的資源,您必須擁有原則指派範圍的擁有者角色。
下列必要條件,視您使用的連接器而定:
資料連接器 授權、成本和其他資訊 Azure 活動 此連接器現在會使用診斷設定管線。 若您是使用舊版方法,在設定新的 Azure 活動記錄連接器之前,您必須中斷現有訂用帳戶與舊版方法的連線。
1.從 Microsoft Sentinel 導覽功能表中,選取 [資料連接器]。 從連接器清單中,選取 [Azure 活動],然後選取右下角的 [開啟連接器] 頁面 按鈕。
2.在 [設定] 區段 [指示] 索引標籤底下的步驟 1 中,檢閱連線至舊版方法的現有訂用帳戶清單,然後按下方的 [全部中斷連線] 按鈕,一次將這些訂用帳戶全部中斷連線。
3.使用本節中的指示繼續設定新的連接器。Azure DDoS 保護 - 已設定 Azure DDoS 標準保護計劃。
- 已設定已啟用 Azure DDoS 標準的虛擬網路
- 可能會產生其他費用
- 只有在受保護的資源受到 DDoS 攻擊時,Azure DDoS 保護資料連線器的 [狀態] 才會變成 [已連線]。Azure 儲存體帳戶 記憶體帳戶 (父代) 資源在其內具有每種記憶體類型的其他 (子) 資源:檔案、數據表、佇列和 Blob。
設定記憶體帳戶的診斷時,您必須選取並設定:
- 父帳戶資源,以匯出交易計量。
- 每個子儲存體類型的資源,以匯出所有記錄和計量。
您只會看到您實際已定義資源的記憶體類型。
透過獨立診斷設定型連接器進行連線
此程式描述如何使用以診斷設定為基礎的獨立連線的數據連接器,連線到Microsoft Sentinel。
從 Microsoft Sentinel 導覽功能表中,選取 [資料連接器]。
從資料連接器資源庫選取您的資源類型,然後選取預覽窗格上的 [開啟連接器頁面]。
在連接器頁面的 [組態] 區段中,選取連結以開啟資源設定頁面。
如果顯示所需類型的資源清單,請選取您要內嵌其記錄的資源連結。
從資源導覽功能表中,選取 [診斷設定]。
選取清單底部的 [+ 新增診斷設定]。
在 [診斷設定] 畫面中,於 [診斷設定名稱] 欄位中輸入名稱。
標記 [傳送至 Log Analytics] 核取方塊。 其下方會顯示兩個新的欄位。 選擇 (Microsoft Sentinel 所在) 的相關 [訂用帳戶] 和 [Log Analytics 工作區]。
標記您想要收集的記錄類型和計量核取方塊。 請參閱資料連接器參考頁面中資源連接器章節中每個資源類型的建議選項。
選取畫面頂部的儲存。
如需詳細資訊,另請參閱 Azure 監視器文件中的建立診斷設定以將 Azure 監視器平台記錄和計量傳送至不同目的地。
透過由 Azure 原則 管理的診斷設定型連接器進行連線機
此程式描述如何使用使用以診斷設定為基礎的連線,並由 Microsoft Azure 原則 管理的數據連接器連線至 sentinel。
此類型的連接器會使用 Azure 原則,將單一診斷設定組態套用至定義為範圍的單一類型資源集合。 您可以在 [資料類型] 底下的該資源連接器頁面左側,查看從指定資源類型內嵌的記錄類型。
從 Microsoft Sentinel 導覽功能表中,選取 [資料連接器]。
從資料連接器資源庫選取您的資源類型,然後選取預覽窗格上的 [開啟連接器頁面]。
在連接器頁面的 [組態] 區段中,展開您在其中看到的任何展開器,然後選取 [啟動 Azure 原則指派精靈] 按鈕。
原則指派精靈隨即開啟,準備好建立新的原則,並預先填入原則名稱。
在 [基本] 索引標籤中,選取 [範圍] 底下具有三個點的按鈕,以選擇您的訂用帳戶 (並可選擇性選取資源群組)。 您也可以新增描述。
在參數索引標籤中:
- 清除 [僅顯示需要輸入的參數] 核取方塊。
- 如果您看到 [效果] 和 [設定名稱] 欄位,請保持原狀。
- 從 Log Analytics 工作區下拉式清單中選擇您的 Microsoft Sentinel 工作區。
- 剩餘下拉式欄位代表可用的診斷記錄類型。 保留標示為 True ,表示您想要內嵌的所有記錄類型。
原則將會套用至未來新增的資源。 若也要在現有的資源上套用原則,請選取 [補救] 索引標籤,並選取 [建立補救工作] 核取方塊。
在 [檢閱 + 建立] 索引標籤中,按一下 [建立]。 您的原則現在已指派給您選擇的範圍。
使用這種類型的數據連接器時,只有在過去 14 天內某個時間點內嵌數據時,連線狀態指標(資料連接器資源庫中的色彩等量和數據類型名稱旁的連接圖示)才會顯示為 已連線 (綠色)。 一旦經過 14 天且沒有數據擷取,連接器會顯示為已中斷連線。 當數據傳回越多時, 連線 狀態就會傳回。
您可以使用資料連接器參考頁面中資源連接器章節中出現的資料表名稱,尋找及查詢每個資源類型。 如需詳細資訊,請參閱 Azure 監視器文件中的建立診斷設定以將 Azure 監視器平台記錄和計量傳送至不同目的地。
相關內容
如需詳細資訊,請參閱