建立 Microsoft Sentinel 工作區

  • 6 分鐘

設計工作區架構之後,登入 Azure 入口網站。 在搜尋列中,搜尋 Sentinel,然後選取 [Microsoft Sentinel]。 Microsoft Sentinel 工作區會顯示目前工作區的清單。 選取 [+ 新增] 按鈕以開始建立流程。

注意

如果您選擇執行此練習,請注意您的 Azure 訂用帳戶可能會產生費用。 若要預估成本,請參考 Microsoft Sentinel 價格。 我們也在練習結束之後進行了互動式實驗室模擬。

Microsoft Sentinel 安裝必要條件

若要啟用 Microsoft Sentinel,您需要 Microsoft Sentinel 工作區所在訂用帳戶的參與者權限。 若要使用 Microsoft Sentinel,您需要工作區所屬資源群組的參與者或讀者權限。

建立並設定 Log Analytics 工作區

  1. 下一個頁面為 [將 Microsoft Sentinel 新增至工作區],將顯示可用來新增 Microsoft Sentinel 的 Log Analytics 工作區清單。 選取 [+ 建立新的工作區] 按鈕以開始 [建立 Log Analytics 工作區] 流程。

  2. [基本] 索引標籤包含下列選項:

    選項 描述
    訂用帳戶 選取訂用帳戶
    資源群組 選取或建立資源群組
    名稱 名稱是 Log Analytics 工作區的名稱,也將是您 Microsoft Sentinel 工作區的名稱
    區域 區域是儲存記錄資料的位置。

    重要

    名稱將是 Microsoft Sentinel 工作區的名稱。 Microsoft Sentinel 名稱預設將與 Log Analytics 工作區名稱相同。 區域是儲存內嵌資料的位置。 資料位置會影響資料治理需求。 工作區無法從一個區域移動至另一個區域。如果需要變更區域選項,就必須重新建立工作區。

  3. 選取 [檢閱 + 建立] 按鈕,然後選取 [建立] 按鈕。

將 Microsoft Sentinel 新增至工作區

當您完成先前步驟之後,現在會出現 [將 Microsoft Sentinel 新增至工作區] 畫面。

  1. 等候剛建立的「Log Analytics 工作區」出現在清單中。 此作業可能需要幾分鐘的時間。

  2. 選取新建立的 Log Analytics 工作區。 然後選取 [新增] 按鈕。

新的 Microsoft Sentinel 工作區現在是使用中的畫面。 Microsoft Sentinel 的左側導覽有四個區域:

  • 一般
  • 威脅管理
  • 內容管理
  • 組態

[總覽] 索引標籤會顯示標準的儀表板,其中包含有關內嵌資料、警示和事件的資訊。

互動式實驗室模擬

注意

選取縮圖影像以啟動實驗室模擬。 當您完成時,請務必返回此頁面,以便繼續學習。

Screenshot of the lab simulation page.

Microsoft Sentinel 共用 Log Analytics 工作區

假設 Microsoft Sentinel 工作區使用 Log Analytics 工作區,您可以選擇在其他解決方案所使用的 Log Analytics 工作區中啟用 Sentinel 工作區。 最常見的案例是共用適用於雲端的 Microsoft Defender 所使用的 Log Analytics 工作區。 共用工作區可讓一個中央工作區查詢安全性資料。

適用於雲端的 Microsoft Defender

建立 Microsoft Sentinel 工作區時,不允許使用預設適用於雲端的 Microsoft Defender Log Analytics 工作區。 您必須手動建立 Log Analytics 工作區,然後更新適用於雲端的 Microsoft Defender 層。 現在,您可以選取手動建立的 Log Analytics 工作區,以便與適用於雲端的 Microsoft Defender 搭配使用。