Rychlý start: Onboarding do služby Microsoft Sentinel

V tomto rychlém startu povolíte Službu Microsoft Sentinel a pak nastavíte datové konektory pro monitorování a ochranu vašeho prostředí. Po připojení zdrojů dat pomocí datových konektorů si můžete vybrat z galerie odborně vytvořených sešitů, které poskytují přehledy založené na vašich datech. Tyto sešity lze snadno přizpůsobit vašim potřebám.

Microsoft Sentinel se dodává s mnoha konektory pro produkty Microsoftu, například Microsoft 365 Defender konektor service-to-service. Můžete také povolit integrované konektory pro produkty od jiných společností než Microsoft, například Syslog nebo Common Event Format (CEF). Přečtěte si další informace o datových konektorech.

Důležité

Projděte si ceny služby Microsoft Sentinel a informace o nákladech a fakturaci služby Microsoft Sentinel .

Globální požadavky

• Aktivní předplatné Azure. Pokud ho nemáte, vytvořte si bezplatný účet , než začnete.

• Pracovní prostor služby Log Analytics. Zjistěte, jak vytvořit pracovní prostor služby Log Analytics. Další informace o pracovních prostorech služby Log Analytics najdete v tématu Návrh nasazení protokolů služby Azure Monitor.

  V pracovním prostoru služby Log Analytics používaném pro Microsoft Sentinel můžete mít výchozí 30denní uchovávání . Abyste měli jistotu, že budete moct používat všechny funkce a funkce služby Microsoft Sentinel, zvyšte dobu uchovávání na 90 dnů. Nakonfigurujte zásady uchovávání a archivace dat v protokolech služby Azure Monitor.

• Oprávnění:

  • Pokud chcete povolit Službu Microsoft Sentinel, potřebujete oprávnění přispěvatele k předplatnému, ve kterém se nachází pracovní prostor služby Microsoft Sentinel.

  • Pokud chcete používat Microsoft Sentinel, potřebujete oprávnění přispěvatele nebo čtenáře ke skupině prostředků, do které pracovní prostor patří.

  • Možná budete potřebovat další oprávnění k připojení konkrétních zdrojů dat.

• Microsoft Sentinel je placená služba. Projděte si cenové možnosti a stránku s cenami služby Microsoft Sentinel.

• Projděte si úplné aktivity před nasazením a požadavky pro nasazení služby Microsoft Sentinel.

Povolení služby Microsoft Sentinel

1. Přihlaste se k webu Azure Portal. Ujistěte se, že je vybrané předplatné, ve kterém je služba Microsoft Sentinel vytvořená.

2. Vyhledejte a vyberte Microsoft Sentinel.

   

3. Vyberte Přidat.

4. Vyberte pracovní prostor, který chcete použít, nebo vytvořte nový. Službu Microsoft Sentinel můžete spustit ve více pracovních prostorech, ale data jsou izolovaná do jednoho pracovního prostoru. Všimněte si, že výchozí pracovní prostory vytvořené službou Microsoft Defender for Cloud se v seznamu nezobrazují. Do těchto pracovních prostorů nemůžete nainstalovat Microsoft Sentinel.

   

   Důležité

   • Po nasazení v pracovním prostoru služba Microsoft Sentinel v současné době nepodporuje přesun tohoto pracovního prostoru do jiných skupin prostředků nebo předplatných.

     Pokud jste pracovní prostor už přesunuli, zakažte všechna aktivní pravidla v části Analýza a po pěti minutách je znovu povolte. To by však mělo být účinné ve většině případů, i když, abychom to znovu zdůraznili, je to nepodporované a provádí se na vlastní nebezpečí.

5. Vyberte Přidat Microsoft Sentinel.

Nastavení datových konektorů

Microsoft Sentinel ingestuje data ze služeb a aplikací připojením ke službě a předáváním událostí a protokolů do služby Microsoft Sentinel.

• Pro fyzické a virtuální počítače můžete nainstalovat agenta Log Analytics, který shromažďuje protokoly a předává je službě Microsoft Sentinel.
• V případě bran firewall a proxy serverů nainstaluje Microsoft Sentinel agenta Log Analytics na linuxový server Syslog, ze kterého agent shromažďuje soubory protokolu a předává je do služby Microsoft Sentinel.

1. V hlavní nabídce vyberte Datové konektory. Tím se otevře galerie datových konektorů.

2. Vyberte datový konektor a pak vyberte tlačítko otevřít stránku konektoru .

3. Na stránce konektoru se zobrazí pokyny ke konfiguraci konektoru a všechny další potřebné pokyny.

   Pokud například vyberete datový konektor Azure Active Directory, který vám umožní streamovat protokoly z Azure AD do služby Microsoft Sentinel, můžete vybrat, jaký typ protokolů chcete získat – protokoly přihlášení nebo protokoly auditu.
   Postupujte podle pokynů k instalaci. Další informace najdete v příslušné příručce pro připojení nebo se dozvíte o datových konektorech Služby Microsoft Sentinel.

4. Karta Další kroky na stránce konektoru zobrazuje relevantní předdefinované sešity, ukázkové dotazy a šablony analytických pravidel, které datový konektor doprovázejí. Můžete je použít tak, jak jsou, nebo je upravit – v každém případě můžete okamžitě získat zajímavé přehledy o vašich datech.

Po nastavení datových konektorů se data začnou streamovat do služby Microsoft Sentinel a jsou připravená k zahájení práce se službou. Můžete zobrazit protokoly v předdefinovaných sešitech a začít vytvářet dotazy v Log Analytics a zkoumat data.

Projděte si osvědčené postupy pro shromažďování dat.

Další kroky

Další informace naleznete v tématu:

• Alternativní možnosti nasazení nebo správy:

  • Nasazení služby Microsoft Sentinel prostřednictvím šablony ARM
  • Správa služby Microsoft Sentinel prostřednictvím rozhraní API
  • Správa služby Microsoft Sentinel prostřednictvím PowerShellu

• Začínáme:

  • Začínáme se službou Microsoft Sentinel
  • Vytváření vlastních analytických pravidel pro detekci hrozeb
  • Připojení externího řešení pomocí formátu Common Event Format