Rychlý start: Onboarding do služby Microsoft Sentinel

V tomto rychlém startu povolíte Službu Microsoft Sentinel a pak nastavíte datové konektory pro monitorování a ochranu vašeho prostředí. Po připojení zdrojů dat pomocí datových konektorů si můžete vybrat z galerie odborně vytvořených sešitů, které poskytují přehledy založené na vašich datech. Tyto sešity lze snadno přizpůsobit vašim potřebám.

Microsoft Sentinel se dodává s mnoha konektory pro produkty Microsoftu, například Microsoft 365 Defender konektor service-to-service. Můžete také povolit integrované konektory pro produkty od jiných společností než Microsoft, například Syslog nebo Common Event Format (CEF). Přečtěte si další informace o datových konektorech.

Globální požadavky

Povolení služby Microsoft Sentinel

  1. Přihlaste se k webu Azure Portal. Ujistěte se, že je vybrané předplatné, ve kterém je služba Microsoft Sentinel vytvořená.

  2. Vyhledejte a vyberte Microsoft Sentinel.

    Snímek obrazovky s vyhledáváním služby při povolování služby Microsoft Sentinel

  3. Vyberte Přidat.

  4. Vyberte pracovní prostor, který chcete použít, nebo vytvořte nový. Službu Microsoft Sentinel můžete spustit ve více pracovních prostorech, ale data jsou izolovaná do jednoho pracovního prostoru. Všimněte si, že výchozí pracovní prostory vytvořené službou Microsoft Defender for Cloud se v seznamu nezobrazují. Do těchto pracovních prostorů nemůžete nainstalovat Microsoft Sentinel.

    Snímek obrazovky s výběrem pracovního prostoru při povolování služby Microsoft Sentinel

    Důležité

    • Po nasazení v pracovním prostoru služba Microsoft Sentinel v současné době nepodporuje přesun tohoto pracovního prostoru do jiných skupin prostředků nebo předplatných.

      Pokud jste pracovní prostor už přesunuli, zakažte všechna aktivní pravidla v části Analýza a po pěti minutách je znovu povolte. To by však mělo být účinné ve většině případů, i když, abychom to znovu zdůraznili, je to nepodporované a provádí se na vlastní nebezpečí.

  5. Vyberte Přidat Microsoft Sentinel.

Nastavení datových konektorů

Microsoft Sentinel ingestuje data ze služeb a aplikací připojením ke službě a předáváním událostí a protokolů do služby Microsoft Sentinel.

  • Pro fyzické a virtuální počítače můžete nainstalovat agenta Log Analytics, který shromažďuje protokoly a předává je službě Microsoft Sentinel.
  • V případě bran firewall a proxy serverů nainstaluje Microsoft Sentinel agenta Log Analytics na linuxový server Syslog, ze kterého agent shromažďuje soubory protokolu a předává je do služby Microsoft Sentinel.
  1. V hlavní nabídce vyberte Datové konektory. Tím se otevře galerie datových konektorů.

  2. Vyberte datový konektor a pak vyberte tlačítko otevřít stránku konektoru .

  3. Na stránce konektoru se zobrazí pokyny ke konfiguraci konektoru a všechny další potřebné pokyny.

    Pokud například vyberete datový konektor Azure Active Directory, který vám umožní streamovat protokoly z Azure AD do služby Microsoft Sentinel, můžete vybrat, jaký typ protokolů chcete získat – protokoly přihlášení nebo protokoly auditu.
    Postupujte podle pokynů k instalaci. Další informace najdete v příslušné příručce pro připojení nebo se dozvíte o datových konektorech Služby Microsoft Sentinel.

  4. Karta Další kroky na stránce konektoru zobrazuje relevantní předdefinované sešity, ukázkové dotazy a šablony analytických pravidel, které datový konektor doprovázejí. Můžete je použít tak, jak jsou, nebo je upravit – v každém případě můžete okamžitě získat zajímavé přehledy o vašich datech.

Po nastavení datových konektorů se data začnou streamovat do služby Microsoft Sentinel a jsou připravená k zahájení práce se službou. Můžete zobrazit protokoly v předdefinovaných sešitech a začít vytvářet dotazy v Log Analytics a zkoumat data.

Projděte si osvědčené postupy pro shromažďování dat.

Další kroky

Další informace naleznete v tématu: