Sdílet prostřednictvím

Zavedení služby Microsoft Sentinel

V tomto rychlém startu povolíte Microsoft Sentinel a nainstalujete řešení z centra obsahu. Potom nastavíte datový konektor, který začne ingestovat data do Microsoft Sentinelu.

Microsoft Sentinel nabízí mnoho datových konektorů pro produkty Microsoftu, jako je konektor služby ke službě Microsoft Defender XDR. Můžete také povolit integrované konektory pro produkty jiné společnosti než Microsoft, jako je Syslog nebo COMMON Event Format (CEF). Pro účely tohoto rychlého startu použijete datový konektor aktivit Azure, který je k dispozici v řešení aktivit Azure pro Microsoft Sentinel.

Pokud se chcete připojit k Microsoft Sentinelu pomocí rozhraní API, podívejte se na nejnovější podporovanou verzi stavů onboardingu služby Sentinel.

Požadavky

  • Aktivní předplatné Azure. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.

  • Oprávnění:

    • Pokud chcete povolit Microsoft Sentinel, potřebujete oprávnění přispěvatele k předplatnému, ve kterém se nachází pracovní prostor Microsoft Sentinelu.

    • Pokud chcete používat Microsoft Sentinel, potřebujete oprávnění přispěvatele Microsoft Sentinelu nebo čtenáře Microsoft Sentinelu ke skupině prostředků, do které pracovní prostor patří.

    • K instalaci nebo správě řešení v centru obsahu potřebujete roli Přispěvatel Služby Microsoft Sentinel ve skupině prostředků, do které pracovní prostor patří.

    • Pokud jste novým zákazníkem Microsoft Sentinelu a máte oprávnění vlastníka předplatného nebo správce uživatelských přístupů, váš pracovní prostor se automaticky nasadí na portál Defender. Uživatelé těchto pracovních prostorů používají Microsoft Sentinel jenom na portálu Defender .

  • Microsoft Sentinel je placená služba. Projděte si cenové možnosti a stránku s cenami služby Microsoft Sentinel.

  • Před nasazením služby Microsoft Sentinel do produkčního prostředí si projděte aktivity předběžného nasazení a předpoklady pro nasazení služby Microsoft Sentinel.

Vytvoření pracovního prostoru služby Log Analytics

Microsoft Sentinel se musí přidat do pracovního prostoru. Pokud už máte pracovní prostor služby Log Analytics, přeskočte na přidání Služby Microsoft Sentinel do pracovního prostoru služby Log Analytics. Pokud ještě nemáte pracovní prostor služby Log Analytics, můžete si ho vytvořit pomocí následujících pokynů nebo podrobnějšího vysvětlení v části Vytvoření pracovního prostoru služby Log Analytics. Další informace o pracovních prostorech služby Log Analytics najdete v tématu Návrh nasazení protokolů služby Azure Monitor.

V pracovním prostoru služby Log Analytics, který se používá pro Microsoft Sentinel, můžete mít výchozí dobu uchovávání 30 dnů. Abyste měli jistotu, že můžete používat všechny funkce a funkce Microsoft Sentinelu, zvyšte dobu uchování na 90 dnů. Konfigurace zásad uchovávání a archivace dat v protokolech služby Azure Monitor

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte a vyberte Microsoft Sentinel.
    Snímek obrazovky s hledáním a výběrem Služby Microsoft Sentinel na webu Azure Portal

  3. Vyberte Vytvořit. Snímek obrazovky s výběrem možnosti Vytvořit a zahájením vytváření nového pracovního prostoru služby Log Analytics

  4. Vyberte Vytvořit nový pracovní prostor. Snímek obrazovky s výběrem možnosti Vytvořit nový pracovní prostor

  5. V částiPředplatné>Skupina prostředků vyberte Vytvořit nový. Zadejte název skupiny prostředků a vyberte OK. Snímek obrazovky vytvoření pracovního prostoru služby Log Analytics V části Předplatné a skupina prostředků je vybrána možnost Vytvořit nový.

  6. Pojmenujte pracovní prostor a vyberte oblast a pak vyberte Zkontrolovat a vytvořit. (Podívejte se , ve kterých oblastech je služba Log Analytics dostupná.)

  7. Po úspěšném ověření vyberte Vytvořit. Počkejte, až se nasazení dokončí.

Přidání Služby Microsoft Sentinel do pracovního prostoru služby Log Analytics

  1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel.

  2. Vyberte Vytvořit. Snímek obrazovky s výběrem možnosti Vytvořit a vytvořit nový pracovní prostor služby Log Analytics

  3. Vyberte pracovní prostor, který chcete použít, a vyberte Přidat. Microsoft Sentinel můžete spustit ve více než jednom pracovním prostoru, ale data jsou izolovaná do jednoho pracovního prostoru.

    • Výchozí pracovní prostory vytvořené v programu Microsoft Defender for Cloud se v seznamu nezobrazují. V těchto pracovních prostorech nemůžete nainstalovat Microsoft Sentinel.
    • Po nasazení do pracovního prostoru Microsoft Sentinel nepodporuje přesun pracovního prostoru do jiné skupiny prostředků nebo předplatného.

Poznámka:

Pokud se váš pracovní prostor automaticky nepřipojuje na portál Defenderu, doporučujeme připojit se ke sjednocenému prostředí při správě operací zabezpečení (SecOps) v rámci Microsoft Sentinelu i dalších služeb zabezpečení Microsoftu. Další informace naleznete v článku Začlenění Microsoft Sentinelu do portálu Defender.

Pokud je váš pracovní prostor automaticky začleněn nebo pokud se nyní rozhodnete pracovní prostor začlenit, můžete v postupech v tomto článku pokračovat z portálu Defender. Pokud používáte portál Defender poprvé, bude trvat několik minut, než se proces dokončí.

Přístup k Microsoft Sentinelu na portálu Defender

Přístup k Microsoft Sentinelu na portálu Defender:

  1. Přihlaste se k portálu Defender.

    Při prvním přístupu k portálu Defender bude chvíli trvat, než tenanta zřídíte.

  2. Po zřízení uvidíte Microsoft Sentinel dostupný v navigačním podokně s uzly Microsoft Sentinelu vnořenými v rámci. Například:

    Snímek obrazovky Microsoft Sentinelu na portálu Defender

  3. Posuňte se v navigačním podokně dolů a vyberte Nastavení > pracovních prostorů Microsoft Sentinelu>, abyste zobrazili pracovní prostory, které jsou nasazené na portálu Defender a které jsou vám k dispozici.

Portál Defender podporuje více pracovních prostorů, přičemž jeden pracovní prostor funguje jako primární pracovní prostor na tenanta. Další informace najdete v tématu Více pracovních prostor Microsoft Sentinel na portálu Defender a víceklientská správa Microsoft Defender.

Instalace řešení z centra obsahu

Centrum obsahu v Microsoft Sentinelu je centralizované umístění pro zjišťování a správu předem vybraného obsahu včetně datových konektorů. Pro účely tohoto rychlého startu nainstalujte řešení pro aktivitu Azure.

  1. V Microsoft Sentinelu přejděte na stránku centra obsahu a vyhledejte a vyberte řešení aktivit Azure .

  2. V podokně podrobností řešení na straně vyberte Nainstalovat.

Nastavení datového konektoru

Microsoft Sentinel ingestuje data ze služeb a aplikací tím, že se připojí ke službě a předá události a protokoly do Služby Microsoft Sentinel. Pro účely tohoto rychlého startu nainstalujte datový konektor pro předávání dat pro aktivitu Azure do Microsoft Sentinelu.

  1. V Microsoft Sentinelu vyberte Konfigurace>datové konektory a vyhledejte a vyberte datový konektor Azure Activity.

  2. V podokně podrobností konektoru vyberte Otevřít stránku konektoru. Použijte pokyny na stránce konektoru Azure Activity k nastavení datového konektoru.

    1. Vyberte Spustit Průvodce přiřazením zásad Azure.

    2. Na kartě Základy nastavte obor na předplatné a skupinu prostředků, která má aktivitu pro odesílání do Služby Microsoft Sentinel. Vyberte například předplatné, které obsahuje vaši instanci Microsoft Sentinelu.

    3. Vyberte kartu Parametry a nastavte primární pracovní prostor služby Log Analytics. Mělo by se jednat o pracovní prostor, ve kterém je nainstalovaná služba Microsoft Sentinel.

    4. Vyberte Zkontrolovat a vytvořit a potom Vytvořit.

Generování dat aktivit

Pojďme vygenerovat nějaká data aktivit povolením pravidla, které bylo součástí řešení aktivit Azure pro Microsoft Sentinel. Tento krok také ukazuje, jak spravovat obsah v centru obsahu.

  1. V Microsoft Sentinelu vyberte Centrum obsahu a vyhledejte a vyberte šablonu pravidla podezřelého nasazení prostředků v řešení aktivit Azure .

  2. V podokně podrobností vyberte Vytvořit pravidlo a vytvořte nové pravidlo pomocí průvodce analytickým pravidlem.

  3. Na stránce průvodce analytickým pravidlem – Vytvoření nového naplánovaného pravidla změňte stav na Povoleno.

    Na této kartě a všech ostatních kartách v průvodci ponechte výchozí hodnoty tak, jak jsou.

  4. Na kartě Revize a vytvoření vyberte Vytvořit.

Zobrazení přijatých dat do Služby Microsoft Sentinel

Teď, když jste povolili datový konektor aktivit Azure a vygenerovali nějaká data aktivit, zobrazíme data aktivit přidaná do pracovního prostoru.

  1. V Microsoft Sentinelu vyberte Konfigurace>datové konektory a vyhledejte a vyberte datový konektor Azure Activity.

  2. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

  3. Zkontrolujte stav datového konektoru. Měla by být připojená.

    Snímek obrazovky datového konektoru pro aktivitu Azure se stavem, který se zobrazuje jako připojený

  4. V závislosti na portálu, který používáte, vyberte kartu, kterou chcete pokračovat:

    1. Výběrem možnosti Přejít na Log Analytics otevřete stránku Rozšířeného vyhledávání.

    2. V horní části podokna vedle karty Nový dotaz vyberte + kartu pro přidání nového dotazu.

    3. Spuštěním následujícího dotazu zobrazte datum aktivity ingestované do pracovního prostoru:

      AzureActivity

    Například:

    Snímek obrazovky s dotazem AzureActivity na stránce Protokoly v portálu Defender.

Další kroky

V tomto rychlém startu jste povolili Microsoft Sentinel a nainstalovali řešení z centra obsahu. Potom nastavíte datový konektor, který začne ingestovat data do Microsoft Sentinelu. Také jste ověřili, že se data ingestují zobrazením dat v pracovním prostoru.

Pokud jste novým zákazníkem, který se automaticky připojí k portálu Defender, budou vaši uživatelé přistupovat k Microsoft Sentinelu jenom na portálu Defender. Při používání dokumentace k Microsoft Sentinelu nezapomeňte vybrat verzi portálu Defender.

  • Last updated on