Ombord Microsoft Sentinel

I denne hurtige introduktion skal du aktivere Microsoft Sentinel og installere en løsning fra indholdshubben. Derefter skal du konfigurere en dataconnector for at begynde at indtage data i Microsoft Sentinel.

Microsoft Sentinel leveres med mange dataconnectors til Microsoft-produkter, f.eks. Microsoft Defender XDR service-to-service-connector. Du kan også aktivere indbyggede connectors for ikke-Microsoft-produkter, f.eks. Syslog eller Common Event Format (CEF). Til denne hurtige introduktion skal du bruge dataconnectoren Azure Activity, der er tilgængelig i Azure Activity-løsningen til Microsoft Sentinel.

Hvis du vil onboarde til Microsoft Sentinel ved hjælp af API'en, skal du se den nyeste understøttede version af Sentinel Onboarding States.

Forudsætninger

  • Aktivt Azure-abonnement. Hvis du ikke har en, kan du oprette en gratis konto , før du begynder.

  • Tilladelser:

    • Hvis du vil aktivere Microsoft Sentinel, skal du have bidragydertilladelser til det abonnement, som det Microsoft Sentinel arbejdsområde er placeret i.

    • Hvis du vil bruge Microsoft Sentinel, skal du enten Microsoft Sentinel tilladelsen Bidragyder eller Microsoft Sentinel Læser for den ressourcegruppe, arbejdsområdet tilhører.

    • Hvis du vil installere eller administrere løsninger i indholdshubben, skal du have rollen Microsoft Sentinel bidragyder i den ressourcegruppe, som arbejdsområdet tilhører.

    • Hvis du er ny Microsoft Sentinel kunde og har tilladelser til en abonnementsejer eller en brugeradgangsadministrator, onboardes dit arbejdsområde automatisk til Defender-portalen. Brugere af sådanne arbejdsområder bruger kun Microsoft Sentinel på Defender-portalen.

  • Microsoft Sentinel er en betalt tjeneste. Gennemse prismulighederne og siden med Microsoft Sentinel priser.

  • Før du udruller Microsoft Sentinel i et produktionsmiljø, skal du gennemse aktiviteterne og forudsætningerne for udrulning af Microsoft Sentinel.

Opret et Log Analytics-arbejdsområde

Microsoft Sentinel skal føjes til et arbejdsområde. Hvis du allerede har et Log Analytics-arbejdsområde, skal du gå videre til at føje Microsoft Sentinel til dit Log Analytics-arbejdsområde. Hvis du ikke allerede har et Log Analytics-arbejdsområde, kan du oprette et ved hjælp af vejledningen nedenfor eller gå til Opret et Log Analytics-arbejdsområde for at få en mere detaljeret forklaring. Du kan finde flere oplysninger om Log Analytics-arbejdsområder under Design af udrulningen af Azure overvågningslogfiler.

Du har muligvis en opbevaring på 30 dage i det Log Analytics-arbejdsområde, der bruges til Microsoft Sentinel. Hvis du vil sikre dig, at du kan bruge alle Microsoft Sentinel funktioner, skal du øge opbevaringen til 90 dage. Konfigurer politikker for dataopbevaring og arkivering i Azure Overvåg logge.

  1. Log på portalenAzure.

  2. Søg efter og vælg Microsoft Sentinel.
    Skærmbillede af søgning efter og valg af Microsoft Sentinel på Azure Portal.

  3. Vælg Opret. Skærmbillede af valg af Opret for at begynde at oprette et nyt Log Analytics-arbejdsområde.

  4. Vælg Opret et nyt arbejdsområde. Skærmbillede af valg af Opret et nyt arbejdsområde.

  5. Under Abonnementsressourcegruppe> skal du vælge Opret ny. Angiv et navn til ressourcegruppen, og vælg OK. Skærmbillede af oprettelse af en skærm med et Log Analytics-arbejdsområde. Under Abonnement og ressourcegruppe er Opret ny valgt.

  6. Giv arbejdsområdet et navn, og vælg et område, og vælg derefter Gennemse + Opret. Se , hvilke områder Log Analytics er tilgængelig i.

  7. Når valideringen er bestået, skal du vælge Opret. Vent, indtil installationen er fuldført.

Føj Microsoft Sentinel til dit Log Analytics-arbejdsområde

  1. I Azure Portal skal du søge efter og vælge Microsoft Sentinel.

  2. Vælg Opret. Skærmbillede af valg af Opret for at oprette et nyt Log Analytics-arbejdsområde.

  3. Vælg det arbejdsområde, du vil bruge, og vælg Tilføj. Du kan køre Microsoft Sentinel på mere end ét arbejdsområde, men data er isoleret til et enkelt arbejdsområde.

    • De standardarbejdsområder, der er oprettet af Microsoft Defender for Cloud, vises ikke på listen. Du kan ikke installere Microsoft Sentinel på disse arbejdsområder.
    • Når det er udrullet i et arbejdsområde, understøtter Microsoft Sentinel ikke flytning af arbejdsområdet til en anden ressourcegruppe eller et andet abonnement.

Bemærk!

Hvis dit arbejdsområde ikke automatisk onboardes på Defender-portalen, anbefaler vi onboarding for at få en samlet oplevelse med administration af sikkerhedshandlinger (SecOps) på tværs af både Microsoft Sentinel og andre Microsoft-sikkerhedstjenester. Du kan få flere oplysninger under Onboard Microsoft Sentinel til Defender-portalen.

Hvis dit arbejdsområde onboardes automatisk, eller hvis du beslutter dig for at onboarde dit arbejdsområde nu, kan du fortsætte procedurerne i denne artikel fra Defender-portalen. Hvis det er første gang, du bruger Defender-portalen, vil der være en forsinkelse på et par minutter, mens processen fuldføres.

Få adgang til Microsoft Sentinel på Defender-portalen

Sådan får du adgang til Microsoft Sentinel på Defender-portalen:

  1. Log på Defender-portalen.

    Første gang du åbner Defender-portalen, tager det noget tid at klargøre din lejer.

  2. Når de er klargjort, kan du se Microsoft Sentinel tilgængelige i navigationsruden med Microsoft Sentinel noder indlejret i . Det kan f.eks. være:

    Skærmbillede af Microsoft Sentinel på Defender-portalen.

  3. Rul ned i navigationsruden, og vælg Indstillinger > Microsoft Sentinel > Arbejdsområder for at få vist de arbejdsområder, der er onboardet til Defender-portalen, og som er tilgængelige for dig.

Defender-portalen understøtter flere arbejdsområder, hvor ét arbejdsområde fungerer som det primære arbejdsområde pr. lejer. Du kan få flere oplysninger under Flere Microsoft Sentinel arbejdsområder på Defender-portalen og Microsoft Defender multitenant administration.

Installér en løsning fra indholdshubben

Indholdshubben i Microsoft Sentinel er den centraliserede placering, hvor du kan finde og administrere det indbyggede indhold, herunder dataconnectors. Til denne hurtige introduktion skal du installere løsningen til Azure Activity.

  1. I Microsoft Sentinel skal du gå til siden Indholdshub og finde og vælge Azure Activity-løsningen.

  2. Vælg Installér i ruden med løsningsoplysninger i siden.

Konfigurer dataconnectoren

Microsoft Sentinel indtager data fra tjenester og apps ved at oprette forbindelse til tjenesten og videresende hændelserne og loggene til Microsoft Sentinel. Til denne hurtige introduktion skal du installere dataconnectoren for at videresende data til Azure Aktivitet for at Microsoft Sentinel.

  1. I Microsoft Sentinel skal du vælgeKonfigurationsdataconnectors> og søge efter og vælge dataconnectoren Azure Aktivitet.

  2. I ruden med oplysninger om connector skal du vælge Åbn connectorside. Brug vejledningen på siden Azure Activity Connector til at konfigurere dataconnectoren.

    1. Vælg Start Azure guiden Politiktildeling.

    2. Under fanen Grundlæggende skal du angive Området til det abonnement og den ressourcegruppe, der har aktivitet, der skal sendes til Microsoft Sentinel. Vælg f.eks. det abonnement, der indeholder din Microsoft Sentinel instans.

    3. Vælg fanen Parametre , og angiv arbejdsområdet Primær loganalyse. Dette bør være det arbejdsområde, hvor Microsoft Sentinel er installeret.

    4. Vælg Gennemse + opret og Opret.

Generér aktivitetsdata

Lad os generere nogle aktivitetsdata ved at aktivere en regel, der er inkluderet i Azure Activity-løsningen for Microsoft Sentinel. I dette trin kan du også se, hvordan du administrerer indhold i indholdshubben.

  1. I Microsoft Sentinel skal du vælge Indholdshub og søge efter og vælge Skabelon for mistænkelig ressourceinstallationsregel i Azure aktivitetsløsningen.

  2. I detaljeruden skal du vælge Opret regel for at oprette en ny regel ved hjælp af guiden Analytics-regel.

  3. I guiden Analytics Rule – Opret en ny planlagt regelside skal du ændre Status til Aktiveret.

    Under denne fane og alle andre faner i guiden skal du lade standardværdierne være, som de er.

  4. På fanen Gennemse og opret skal du vælge Opret.

Få vist data, der er indtaget, i Microsoft Sentinel

Nu, hvor du har aktiveret dataconnectoren Azure Aktivitet og genereret nogle aktivitetsdata, kan vi se de aktivitetsdata, der er føjet til arbejdsområdet.

  1. I Microsoft Sentinel skal du vælgeKonfigurationsdataconnectors> og søge efter og vælge dataconnectoren Azure Aktivitet.

  2. I ruden med oplysninger om connector skal du vælge Åbn connectorside.

  3. Gennemse status for dataconnectoren. Det skal være Tilsluttet.

    Skærmbillede af dataconnectoren til Azure Aktivitet, hvor status vises som tilsluttet.

  4. Vælg en fane for at fortsætte, afhængigt af hvilken portal du bruger:

    1. Vælg Gå til loganalyse for at åbne siden Avanceret jagt .

    2. Vælg ud for fanen +Ny forespørgsel øverst i ruden for at tilføje en ny forespørgselsfane.

    3. Kør følgende forespørgsel for at få vist den aktivitetsdato, der er indtaget i arbejdsområdet:

      AzureActivity

    Det kan f.eks. være:

    Skærmbillede af forespørgslen AzureActivity på siden Logge på Defender-portalen.

Næste trin

I denne hurtige introduktion har du aktiveret Microsoft Sentinel og installeret en løsning fra indholdshubben. Derefter konfigurerer du en dataconnector for at begynde at overføre data til Microsoft Sentinel. Du har også kontrolleret, at data indtages ved at få vist dataene i arbejdsområdet.

Hvis du er ny kunde, der automatisk er blevet onboardet til Defender-portalen, vil dine brugere kun få adgang til Microsoft Sentinel på Defender-portalen. Når du bruger dokumentationen til Microsoft Sentinel, skal du sørge for at vælge Defender Portal-versionen af dokumentationen.

  • Last updated on