Rychlý start: Onboarding do služby Microsoft Sentinel

V tomto rychlém startu povolíte Microsoft Sentinel a pak nastavíte datové konektory pro monitorování a ochranu vašeho prostředí. Po připojení zdrojů dat pomocí datových konektorů si můžete vybrat z galerie expertně vytvořených sešitů, které se na základě vašich dat zokumentují. Tyto sešity je možné snadno přizpůsobit vašim potřebám.

Microsoft Sentinel obsahuje mnoho konektorů pro produkty Microsoftu, například konektor Microsoft 365 Defender service-to-service. Můžete také povolit integrované konektory pro produkty jiné společnosti než Microsoft, například Syslog nebo Common Event Format (CEF). Přečtěte si další informace o datových konektorech.

Globální požadavky

Geografická dostupnost a rezidence dat

  • Služba Microsoft Sentinel se může spouštět v pracovních prostorech ve většině oblastí, kde je služba Log Analytics obecně dostupná. Oblasti, ve kterých je služba Log Analytics nově dostupná, může trvat nějakou dobu, než se služba Microsoft Sentinel nasadí.

  • Informace o geografických oblastech a oblastech ao tom, kde se ukládají zákaznická data, najdete v Tématu Rezidence dat v Azure.

  • Rezidence dat s jednou oblastí je aktuálně poskytována pouze v oblasti Jihovýchodní Asie (Singapur) oblasti Asie Tichomoří a v oblasti Brazílie – jih (Sao Paulo State) zeměpisu Brazílie.

    Důležité

    • Povolením určitých pravidel, která využívají modul strojového učení (ML), udělíte Microsoftu oprávnění ke kopírování relevantních ingestovaných dat mimo zeměpisné oblasti pracovního prostoru Microsoft Sentinelu , jak může modul strojového učení vyžadovat ke zpracování těchto pravidel.

Povolení služby Microsoft Sentinel

  1. Přihlaste se k webu Azure Portal. Ujistěte se, že je vybrané předplatné, ve kterém je vytvořeno Microsoft Sentinel.

  2. Vyhledejte a vyberte Microsoft Sentinel.

    Snímek obrazovky s hledáním služby při povolování služby Microsoft Sentinel

  3. Vyberte Přidat.

  4. Vyberte pracovní prostor, který chcete použít, nebo vytvořte nový. Microsoft Sentinel můžete spustit ve více než jednom pracovním prostoru, ale data jsou izolovaná do jednoho pracovního prostoru. Všimněte si, že v seznamu se nezobrazují výchozí pracovní prostory vytvořené programem Microsoft Defender for Cloud. Microsoft Sentinel nemůžete nainstalovat do těchto pracovních prostorů.

    Snímek obrazovky s výběrem pracovního prostoru při povolování služby Microsoft Sentinel

    Důležité

    • Po nasazení do pracovního prostoru microsoft Sentinel aktuálně nepodporuje přesun tohoto pracovního prostoru do jiných skupin prostředků nebo předplatných.

      Pokud jste pracovní prostor už přesunuli, zakažte všechna aktivní pravidla v části Analýza a po pěti minutách je znovu povolte. Ve většině případů by to ale mělo být efektivní, aby se znovu opakovalo, není podporováno a provedeno ve vašem vlastním riziku.

  5. Vyberte Přidat Microsoft Sentinel.

Nastavení datových konektorů

Microsoft Sentinel ingestuje data ze služeb a aplikací připojením ke službě a předáváním událostí a protokolů do Microsoft Sentinelu.

  • U fyzických a virtuálních počítačů můžete nainstalovat agenta Log Analytics, který shromažďuje protokoly a předává je službě Microsoft Sentinel.
  • Pro brány firewall a proxy servery Microsoft Sentinel nainstaluje agenta Log Analytics na server Syslog Linuxu, ze kterého agent shromažďuje soubory protokolů a předává je do služby Microsoft Sentinel.
  1. V hlavní nabídce vyberte Datové konektory. Tím se otevře galerie datových konektorů.

  2. Vyberte datový konektor a pak vyberte tlačítko Otevřít stránku konektoru .

  3. Na stránce konektoru se zobrazují pokyny ke konfiguraci konektoru a další pokyny, které můžou být nezbytné.

    Pokud například vyberete datový konektor Azure Active Directory, který umožňuje streamovat protokoly z Azure AD do Služby Microsoft Sentinel, můžete vybrat typ protokolů, které chcete získat – protokoly přihlášení nebo protokoly auditu.
    Postupujte podle pokynů k instalaci. Další informace najdete v příslušné příručce k připojení nebo se dozvíte o datových konektorech Microsoft Sentinelu.

  4. Karta Další kroky na stránce konektoru zobrazuje relevantní předdefinované sešity, ukázkové dotazy a šablony analytických pravidel, které doprovázejí datový konektor. Můžete je použít tak, jak je, nebo je upravit – můžete okamžitě získat zajímavé přehledy o datech.

Po nastavení datových konektorů se vaše data začnou streamovat do Microsoft Sentinelu a jsou připravená začít pracovat s. Protokoly můžete zobrazit v předdefinovaných sešitech a začít vytvářet dotazy v Log Analytics a zkoumat data.

Projděte si osvědčené postupy shromažďování dat.

Další kroky

Další informace naleznete v tématu: