Rychlý start: Onboarding do služby Microsoft Sentinel

V tomto rychlém startu povolíte Microsoft Sentinel a nainstalujete řešení z centra obsahu. Potom nastavíte datový konektor, který začne ingestovat data do Microsoft Sentinelu.

Microsoft Sentinel nabízí mnoho datových konektorů pro produkty Microsoftu, jako je konektor XDR služby Microsoft Defenderu. Můžete také povolit integrované konektory pro produkty jiné společnosti než Microsoft, jako je Syslog nebo COMMON Event Format (CEF). Pro účely tohoto rychlého startu použijete datový konektor aktivit Azure, který je k dispozici v řešení aktivit Azure pro Microsoft Sentinel.

Požadavky

  • Aktivní předplatné Azure. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.

  • Pracovní prostor služby Log Analytics Zjistěte, jak vytvořit pracovní prostor služby Log Analytics. Další informace o pracovních prostorech služby Log Analytics najdete v tématu Návrh nasazení protokolů služby Azure Monitor.

    V pracovním prostoru služby Log Analytics, který se používá pro Microsoft Sentinel, můžete mít výchozí dobu uchovávání 30 dnů. Abyste měli jistotu, že můžete používat všechny funkce a funkce Microsoft Sentinelu, zvyšte dobu uchování na 90 dnů. Konfigurace zásad uchovávání a archivace dat v protokolech služby Azure Monitor

  • Oprávnění:

    • Pokud chcete povolit Microsoft Sentinel, potřebujete oprávnění přispěvatele k předplatnému, ve kterém se nachází pracovní prostor Microsoft Sentinelu.

    • Pokud chcete používat Microsoft Sentinel, potřebujete oprávnění přispěvatele Microsoft Sentinelu nebo čtenáře Microsoft Sentinelu ke skupině prostředků, do které pracovní prostor patří.

    • K instalaci nebo správě řešení v centru obsahu potřebujete roli Přispěvatel Služby Microsoft Sentinel ve skupině prostředků, do které pracovní prostor patří.

  • Microsoft Sentinel je placená služba. Projděte si cenové možnosti a stránku s cenami služby Microsoft Sentinel.

  • Před nasazením služby Microsoft Sentinel do produkčního prostředí si projděte aktivity předběžného nasazení a předpoklady pro nasazení služby Microsoft Sentinel.

Povolení služby Microsoft Sentinel

Začněte tím, že přidáte Microsoft Sentinel do existujícího pracovního prostoru nebo vytvoříte nový.

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte a vyberte Microsoft Sentinel.

    Snímek obrazovky s hledáním služby při povolování služby Microsoft Sentinel

  3. Vyberte Vytvořit.

  4. Vyberte pracovní prostor, který chcete použít, nebo vytvořte nový. Microsoft Sentinel můžete spustit ve více než jednom pracovním prostoru, ale data jsou izolovaná do jednoho pracovního prostoru.

    Snímek obrazovky s výběrem pracovního prostoru při povolování Služby Microsoft Sentinel

    • Výchozí pracovní prostory vytvořené v programu Microsoft Defender for Cloud se v seznamu nezobrazují. V těchto pracovních prostorech nemůžete nainstalovat Microsoft Sentinel.
    • Po nasazení do pracovního prostoru Microsoft Sentinel nepodporuje přesun pracovního prostoru do jiné skupiny prostředků nebo předplatného.
  5. Vyberte Přidat.

Jako alternativu k použití portálu můžete připojit k Microsoft Sentinelu pomocí požadavku rozhraní API voláním rozhraní ARM OnboardingStates.

Instalace řešení z centra obsahu

Centrum obsahu v Microsoft Sentinelu je centralizované umístění pro zjišťování a správu předem vybraného obsahu včetně datových konektorů. Pro účely tohoto rychlého startu nainstalujte řešení pro aktivitu Azure.

  1. V Microsoft Sentinelu vyberte centrum obsahu.

  2. Vyhledejte a vyberte řešení aktivit Azure.

    Snímek obrazovky centra obsahu s vybraným řešením pro aktivitu Azure

  3. Na panelu nástrojů v horní části stránky vyberte Nainstalovat/Aktualizovat.

Nastavení datového konektoru

Microsoft Sentinel ingestuje data ze služeb a aplikací tím, že se připojí ke službě a předá události a protokoly do Služby Microsoft Sentinel. Pro účely tohoto rychlého startu nainstalujte datový konektor pro předávání dat pro aktivitu Azure do Microsoft Sentinelu.

  1. V Microsoft Sentinelu vyberte Datové konektory.

  2. Vyhledejte a vyberte datový konektor aktivit Azure.

  3. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

  4. Projděte si pokyny ke konfiguraci konektoru.

  5. Vyberte Spustit Průvodce přiřazením služby Azure Policy.

  6. Na kartě Základy nastavte obor na předplatné a skupinu prostředků, která má aktivitu pro odesílání do Služby Microsoft Sentinel. Vyberte například předplatné, které obsahuje vaši instanci Microsoft Sentinelu.

  7. Vyberte kartu Parametry.

  8. Nastavte primární pracovní prostor služby Log Analytics. Mělo by se jednat o pracovní prostor, ve kterém je nainstalovaná služba Microsoft Sentinel.

  9. Vyberte Zkontrolovat a vytvořit a potom Vytvořit.

Generování dat aktivit

Pojďme vygenerovat nějaká data aktivit povolením pravidla, které bylo součástí řešení aktivit Azure pro Microsoft Sentinel. Tento krok také ukazuje, jak spravovat obsah v centru obsahu.

  1. V Microsoft Sentinelu vyberte centrum obsahu.

  2. Vyhledejte a vyberte řešení aktivit Azure.

  3. V pravém podokně vyberte Spravovat.

  4. Vyhledejte a vyberte šablonu pravidla Podezřelé nasazení prostředků.

  5. Vyberte Konfigurace.

  6. Vyberte pravidlo a vytvořte pravidlo.

  7. Na kartě Obecné změňte stav na povolenou. Ponechte zbývající výchozí hodnoty.

  8. Přijměte výchozí hodnoty na ostatních kartách.

  9. Na kartě Revize a vytvoření vyberte Vytvořit.

Zobrazení přijatých dat do Služby Microsoft Sentinel

Teď, když jste povolili datový konektor aktivit Azure a vygenerovali nějaká data aktivit, zobrazíme data aktivit přidaná do pracovního prostoru.

  1. V Microsoft Sentinelu vyberte Datové konektory.

  2. Vyhledejte a vyberte datový konektor aktivit Azure.

  3. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

  4. Zkontrolujte stav datového konektoru. Měla by být Připojení.

    Snímek obrazovky datového konektoru pro aktivitu Azure se stavem, který se zobrazuje jako připojený

  5. V levém bočním podokně nad grafem vyberte Přejít na log analytics.

  6. V horní části podokna vedle karty Nový dotaz 1 vyberte + kartu pro přidání nového dotazu.

  7. V podokně dotazu spusťte následující dotaz, abyste zobrazili datum aktivity ingestované do pracovního prostoru.

     AzureActivity
    

    Snímek obrazovky s oknem dotazu protokolu s výsledky vrácenými pro dotaz aktivity Azure

Další kroky

V tomto rychlém startu jste povolili Microsoft Sentinel a nainstalovali řešení z centra obsahu. Potom nastavíte datový konektor, který začne ingestovat data do Microsoft Sentinelu. Také jste ověřili, že se data ingestují zobrazením dat v pracovním prostoru.