Schnellstart: Durchführen des Onboardings für Microsoft Sentinel
Mit diesem Schnellstart aktivieren Sie Microsoft Sentinel und richten dann Datenconnectors ein, um Ihre Umgebung zu überwachen und zu schützen. Nachdem Sie die Datenquellen mithilfe von Datenconnectors verbunden haben, steht Ihnen ein Katalog von professionell erstellten Arbeitsmappen zur Anzeige der Erkenntnisse, die Sie aus Ihren Daten gewinnen, zur Auswahl. Diese Arbeitsmappen können einfach an Ihre Anforderungen angepasst werden.
Microsoft Sentinel verfügt über viele Connectors für Microsoft-Produkte, z. B. den Microsoft 365 Defender-Dienst-zu-Dienst-Connector. Darüber hinaus können Sie integrierte Connectors für Nicht-Microsoft-Produkte aktivieren, z. B. Syslog oder Common Event Format (CEF). Weitere Informationen über Datenconnectors.
Wichtig
Lesen Sie die Informationen zu Microsoft Sentinel-Abrechnung und Microsoft Sentinel Kosten und Abrechnung.
Globale Voraussetzungen
Ein aktives Azure-Abonnement. Sollten Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Log Analytics-Arbeitsbereich Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier. Weitere Informationen zu Log Analytics-Arbeitsbereichen finden Sie unter Entwerfen Ihrer Azure Monitor-Protokollbereitstellung.
In dem für Microsoft Sentinel verwendeten Log Analytics-Arbeitsbereich ist eine Aufbewahrungsdauer von 30 Tagen festgelegt. Um sicherzustellen, dass Sie alle Funktionen und Features von Microsoft Sentinel verwenden können, erhöhen Sie die Aufbewahrungsdauer auf 90 Tage. Konfigurieren von Datenaufbewahrungs- und Archivrichtlinien in Azure Monitor-Protokollen
Berechtigungen:
Um Microsoft Sentinel zu aktivieren, benötigen Sie Berechtigungen als Mitwirkender für das Abonnement, in dem sich der Microsoft Sentinel-Arbeitsbereich befindet.
Für die Ressourcengruppe, zu der der Arbeitsbereich gehört, benötigen Sie entweder Berechtigungen als Mitwirkende oder Leser, um Microsoft Sentinel zu verwenden.
Möglicherweise benötigen Sie weitere Berechtigungen, um eine Verbindung mit bestimmten Datenquellen herzustellen.
Microsoft Sentinel ist ein kostenpflichtiger Dienst. Überprüfen Sie die Preisoptionen und die Microsoft Sentinel-Preisseite.
Überprüfen Sie die vollständigen Aktivitäten vor der Bereitstellung und die Voraussetzungen für die Bereitstellung von Microsoft Sentinel.
Aktivieren von Microsoft Sentinel
Melden Sie sich beim Azure-Portal an. Achten Sie darauf, dass das Abonnement ausgewählt ist, in dem Microsoft Sentinel erstellt wird.
Suchen Sie nach Microsoft Sentinel, und wählen Sie diese Lösung aus.
Wählen Sie Hinzufügen.
Wählen Sie den Arbeitsbereich aus, den Sie verwenden möchten, oder erstellen Sie einen neuen. Sie können Microsoft Sentinel in mehr als einem Arbeitsbereich ausführen. Die Daten sind aber für einen einzelnen Arbeitsbereich isoliert. Beachten Sie, dass Standardarbeitsbereiche, die von Microsoft Defender für Cloud erstellt wurden, nicht in der Liste angezeigt werden. Sie können Microsoft Sentinel nicht in diesen Arbeitsbereichen installieren.
Wichtig
Nach der Bereitstellung in einem Arbeitsbereich bietet Microsoft Sentinel derzeit keine Unterstützung für das Verschieben dieses Arbeitsbereichs in andere Ressourcengruppen oder Abonnements.
Haben Sie den Arbeitsbereich bereits verschoben, deaktivieren Sie alle aktiven Regeln unter Analytics, und aktivieren Sie sie nach fünf Minuten wieder. Dieser Vorgang sollte in den meisten Fällen wirksam sein. Für die Iteration wird er jedoch nicht unterstützt und auf eigenes Risiko ausgeführt.
Wählen Sie Add Microsoft Sentinel (Microsoft Sentinel hinzufügen) aus.
Einrichten von Datenconnectors
Microsoft Sentinel erfasst Daten aus Diensten und Apps, indem eine Verbindung mit dem Dienst hergestellt wird und die Ereignisse und Protokolle an Microsoft Sentinel weitergeleitet werden.
- Für physische und virtuelle Computer können Sie den Log Analytics-Agent installieren, mit dem die Protokolle gesammelt und an Microsoft Sentinel weitergeleitet werden.
- Für Firewalls und Proxys installiert Microsoft Sentinel den Log Analytics-Agent auf einem Linux-Syslog-Server, über den der Agent die Protokolldateien erfasst und an Microsoft Sentinel weiterleitet.
Wählen Sie im Hauptmenü die Option Datenconnectors aus. Der Katalog mit den Datenconnectors wird geöffnet.
Wählen Sie einen Datenconnector und dann die Schaltfläche Connectorseite öffnen aus.
Auf der Connectorseite werden eine Anleitung zum Konfigurieren des Connectors und alle erforderlichen weiteren Hinweise angezeigt.
Wenn Sie beispielsweise den Datenconnector Azure Active Directory auswählen, mit dem Sie Protokolle aus Azure AD an Microsoft Sentinel streamen können, können Sie angeben, welche Arten von Protokollen Sie erhalten möchten: Anmeldeprotokolle und/oder Überwachungsprotokolle.
Befolgen Sie die Installationsanweisungen. Weitere Informationen finden Sie im jeweiligen Verbindungshandbuch oder in der Dokumentation über Microsoft Sentinel-Datenconnectors.Auf der Connectorseite werden auf der Registerkarte Nächste Schritte relevante integrierte Arbeitsmappen, Beispielabfragen und Analyseregelvorlagen angezeigt, die zum Datenconnector gehören. Sie können diese Elemente unverändert verwenden oder anpassen. Auf jeden Fall können Sie sofort interessante Erkenntnisse zu Ihren Daten gewinnen.
Nachdem Sie Ihre Datenconnectors eingerichtet haben, beginnt das Streaming Ihrer Daten zu Microsoft Sentinel. Sie können dann mit der Arbeit mit Ihren Daten beginnen. Sie können die Protokolle in den integrierten Arbeitsmappen anzeigen und mit der Erstellung von Abfragen in Log Analytics beginnen, um die Daten zu untersuchen.
Lesen Sie die bewährten Methoden für die Datensammlung.
Nächste Schritte
Weitere Informationen finden Sie unter
Alternative Bereitstellungs-/Verwaltungsoptionen:
Erste Schritte: