Sdílet prostřednictvím

Onboarding Microsoft Sentinel

V tomto rychlém startu povolíte Microsoft Sentinel a nainstalujete řešení z centra obsahu. Pak nastavíte datový konektor, který začne ingestovat data do Microsoft Sentinel.

Microsoft Sentinel se dodává s mnoha datovými konektory pro produkty Microsoftu, jako je konektor Microsoft Defender XDR service-to-service. Můžete také povolit integrované konektory pro produkty jiné společnosti než Microsoft, jako je Syslog nebo Common Event Format (CEF). V tomto rychlém startu použijete datový konektor Azure Activity, který je k dispozici v řešení Azure Activity pro Microsoft Sentinel.

Pokud chcete připojit k Microsoft Sentinel pomocí rozhraní API, projděte si nejnovější podporovanou verzi Sentinel onboarding states.

Požadavky

  • Aktivní Azure předplatné. Pokud ho nemáte, vytvořte si bezplatný účet , než začnete.

  • Oprávnění:

    • Pokud chcete povolit Microsoft Sentinel, potřebujete oprávnění přispěvatele k předplatnému, ve kterém se nachází pracovní prostor Microsoft Sentinel.

    • Pokud chcete použít Microsoft Sentinel, potřebujete oprávnění Microsoft Sentinel přispěvatele nebo Microsoft Sentinel oprávnění čtenáře pro skupinu prostředků, do které pracovní prostor patří.

    • K instalaci nebo správě řešení v centru obsahu potřebujete roli přispěvatele Microsoft Sentinel ve skupině prostředků, do které pracovní prostor patří.

    • Pokud jste novým zákazníkem Microsoft Sentinel a máte oprávnění vlastníka předplatného nebo správce uživatelských přístupů, váš pracovní prostor se automaticky onboarduje na portálu Defender. Uživatelé těchto pracovních prostorů používají Microsoft Sentinel jenom na portálu Defender.

  • Microsoft Sentinel je placená služba. Projděte si cenové možnosti a stránku s cenami Microsoft Sentinel.

  • Před nasazením Microsoft Sentinel do produkčního prostředí si projděte aktivity před nasazením a požadavky na nasazení Microsoft Sentinel.

Vytvoření pracovního prostoru služby Log Analytics

Microsoft Sentinel je nutné přidat do pracovního prostoru. Pokud už máte pracovní prostor služby Log Analytics, přeskočte k přidání Microsoft Sentinel do pracovního prostoru služby Log Analytics. Pokud ještě nemáte pracovní prostor služby Log Analytics, můžete ho vytvořit pomocí následujících pokynů nebo podrobnější vysvětlení najdete v tématu Vytvoření pracovního prostoru služby Log Analytics. Další informace o pracovních prostorech služby Log Analytics najdete v tématu Návrh nasazení protokolů monitorování Azure.

V pracovním prostoru služby Log Analytics, který se používá pro Microsoft Sentinel, může být výchozí doba uchovávání 30 dnů. Pokud chcete mít jistotu, že budete moct používat všechny funkce a funkce Microsoft Sentinel, zvyšte dobu uchovávání na 90 dnů. Nakonfigurujte zásady uchovávání dat a archivace v protokolech Azure Monitorování.

  1. Přihlaste se na portál Microsoft Azure.

  2. Vyhledejte a vyberte Microsoft Sentinel.
    Snímek obrazovky s vyhledáváním a výběrem Microsoft Sentinel z Azure Portal

  3. Vyberte Vytvořit. Snímek obrazovky s výběrem možnosti Vytvořit a zahájením vytváření nového pracovního prostoru služby Log Analytics

  4. Vyberte Vytvořit nový pracovní prostor. Snímek obrazovky s výběrem možnosti Vytvořit nový pracovní prostor

  5. V částiSkupina prostředkůpředplatného> vyberte Vytvořit nový. Zadejte název skupiny prostředků a vyberte OK. Snímek obrazovky s vytvořením pracovního prostoru služby Log Analytics V části Předplatné a skupina prostředků je vybraná možnost Vytvořit nový.

  6. Pojmenujte pracovní prostor, vyberte oblast a pak vyberte Zkontrolovat a vytvořit. (Podívejte se, ve kterých oblastech je služba Log Analytics dostupná.)

  7. Po ověření vyberte Vytvořit. Počkejte, až se nasazení dokončí.

Přidání Microsoft Sentinel do pracovního prostoru služby Log Analytics

  1. V Azure Portal vyhledejte a vyberte Microsoft Sentinel.

  2. Vyberte Vytvořit. Snímek obrazovky s výběrem možnosti Vytvořit a vytvořit nový pracovní prostor služby Log Analytics

  3. Vyberte pracovní prostor, který chcete použít, a vyberte Přidat. Microsoft Sentinel můžete spustit ve více než jednom pracovním prostoru, ale data jsou izolovaná do jednoho pracovního prostoru.

    • Výchozí pracovní prostory vytvořené službou Microsoft Defender for Cloud se v seznamu nezobrazují. V těchto pracovních prostorech nemůžete nainstalovat Microsoft Sentinel.
    • Po nasazení do pracovního prostoru Microsoft Sentinel nepodporuje přesun pracovního prostoru do jiné skupiny prostředků nebo jiného předplatného.

Poznámka

Pokud váš pracovní prostor není automaticky onboardovaný na portálu Defender, doporučujeme zprovoznění, aby bylo jednotné prostředí při správě operací zabezpečení (SecOps) v Microsoft Sentinel i dalších službách zabezpečení Microsoftu. Další informace najdete v tématu Onboarding Microsoft Sentinel na portál Defender.

Pokud se váš pracovní prostor automaticky onboarduje nebo pokud se rozhodnete pracovní prostor nasadit hned, můžete pokračovat v postupech v tomto článku z portálu Defender. Pokud portál Defender používáte poprvé, bude trvat několik minut, než se proces dokončí.

Přístup k Microsoft Sentinel na portálu Defender

Přístup k Microsoft Sentinel na portálu Defender:

  1. Přihlaste se k portálu Defender.

    Při prvním přístupu k portálu Defender bude zřízení tenanta nějakou dobu trvat.

  2. Po zřízení uvidíte Microsoft Sentinel dostupné v navigačním podokně s vnořenými uzly Microsoft Sentinel. Příklady:

    Snímek obrazovky s Microsoft Sentinel na portálu Defender

  3. Posuňte se v navigačním podokně dolů a vyberte Nastavení > Microsoft Sentinel > Pracovní prostory, abyste zobrazili pracovní prostory nasazené na portálu Defender a dostupné pro vás.

Portál Defender podporuje více pracovních prostorů, přičemž jeden pracovní prostor funguje jako primární pracovní prostor pro každého tenanta. Další informace najdete v tématu Více pracovních prostorů Microsoft Sentinel na portálu Defender a Microsoft Defender správu více tenantů.

Instalace řešení z centra obsahu

Centrum obsahu v Microsoft Sentinel je centralizovaným umístěním pro zjišťování a správu předem zahrnutého obsahu včetně datových konektorů. Pro účely tohoto rychlého startu nainstalujte řešení pro Azure Activity.

  1. V Microsoft Sentinel přejděte na stránku Centrum obsahu a najděte a vyberte řešení Azure Activity.

  2. V podokně podrobností řešení na boku vyberte Nainstalovat.

Nastavení datového konektoru

Microsoft Sentinel ingestuje data ze služeb a aplikací připojením ke službě a předáváním událostí a protokolů do Microsoft Sentinel. Pro účely tohoto rychlého startu nainstalujte datový konektor, který bude předávat data Azure Activity do Microsoft Sentinel.

  1. V Microsoft Sentinel vyberteKonektory konfiguračních> dat a vyhledejte a vyberte konektor Azure Activity Data Connector.

  2. V podokně podrobností o konektoru vyberte Otevřít stránku konektoru. Podle pokynů na stránce konektoru aktivity Azure nastavte datový konektor.

    1. Vyberte Spustit Azure Policy Průvodce přiřazením.

    2. Na kartě Základy nastavte obor na předplatné a skupinu prostředků, které mají aktivitu, která se má odeslat do Microsoft Sentinel. Vyberte například předplatné, které obsahuje vaši instanci Microsoft Sentinel.

    3. Vyberte kartu Parametry a nastavte primární pracovní prostor služby Log Analytics. Měl by to být pracovní prostor, ve kterém je nainstalovaný Microsoft Sentinel.

    4. Vyberte Zkontrolovat a vytvořit a vytvořit.

Generování dat aktivit

Pojďme vygenerovat nějaká data aktivit povolením pravidla, které bylo součástí řešení Azure Activity pro Microsoft Sentinel. Tento krok také ukazuje, jak spravovat obsah v centru obsahu.

  1. V Microsoft Sentinel vyberte Centrum obsahu a v řešení aktivita Azure vyhledejte a vyberte šablonu pravidla nasazení podezřelých prostředků.

  2. V podokně podrobností vyberte Vytvořit pravidlo a vytvořte nové pravidlo pomocí průvodce analytickými pravidly.

  3. Na stránce Průvodce analytickým pravidlem – Vytvoření nového naplánovaného pravidla změňte Stav na Povoleno.

    Na této kartě a všech ostatních kartách v průvodci ponechte výchozí hodnoty tak, jak jsou.

  4. Na kartě Zkontrolovat a vytvořit vyberte Vytvořit.

Zobrazení dat přijatých do Microsoft Sentinel

Teď, když jste povolili datový konektor Azure Activity a vygenerovali některá data aktivit, zobrazíme data aktivit přidaná do pracovního prostoru.

  1. V Microsoft Sentinel vyberteKonektory konfiguračních> dat a vyhledejte a vyberte konektor Azure Activity Data Connector.

  2. V podokně podrobností o konektoru vyberte Otevřít stránku konektoru.

  3. Zkontrolujte stav datového konektoru. Mělo by být Připojeno.

    Snímek obrazovky datového konektoru pro Azure Activity se stavem připojeno

  4. Pokud chcete pokračovat, vyberte kartu podle toho, který portál používáte:

    1. Výběrem možnosti Přejít do log Analytics otevřete stránku rozšířeného proaktivního vyhledávání .

    2. V horní části podokna vedle karty Nový dotaz vyberte + kartu a přidejte nový dotaz.

    3. Spuštěním následujícího dotazu zobrazte datum aktivity ingestované do pracovního prostoru:

      AzureActivity

    Příklady:

    Snímek obrazovky s dotazem AzureActivity na stránce Protokoly na portálu Defender

Další kroky

V tomto rychlém startu jste povolili Microsoft Sentinel a nainstalovali řešení z centra obsahu. Pak nastavíte datový konektor tak, aby začal ingestovat data do Microsoft Sentinel. Také jste ověřili, že se data ingestují, a to zobrazením dat v pracovním prostoru.

Pokud jste nový zákazník, který se automaticky onboardoval na portál Defender, vaši uživatelé budou mít přístup k Microsoft Sentinel jenom na portálu Defender. Při používání Microsoft Sentinel dokumentace nezapomeňte vybrat verzi portálu Defender dokumentace.

  • Last updated on