Onboarding von Microsoft Sentinel

In dieser Schnellstartanleitung aktivieren Sie Microsoft Sentinel und installieren eine Lösung über den Inhaltshub. Anschließend richten Sie einen Datenconnector ein, um mit der Erfassung von Daten in Microsoft Sentinel zu beginnen.

Microsoft Sentinel enthält viele Datenconnectors für Microsoft-Produkte, z. B. den Microsoft Defender XDR Service-to-Service-Connector. Sie können auch integrierte Connectors für Nicht-Microsoft-Produkte wie Syslog oder Common Event Format (CEF) aktivieren. In dieser Schnellstartanleitung verwenden Sie den Azure Activity-Datenconnector, der in der Azure Activity-Lösung für Microsoft Sentinel verfügbar ist.

Informationen zum Onboarding in Microsoft Sentinel mithilfe der API finden Sie in der neuesten unterstützten Version von Sentinel Onboarding States.

Voraussetzungen

• Aktives Azure-Abonnement. Wenn Sie noch keins haben, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.

• Berechtigungen:

  • Um Microsoft Sentinel zu aktivieren, benötigen Sie Mitwirkender Berechtigungen für das Abonnement, in dem sich der Microsoft Sentinel Arbeitsbereich befindet.

  • Um Microsoft Sentinel verwenden zu können, benötigen Sie entweder Microsoft Sentinel Berechtigungen Mitwirkender oder Microsoft Sentinel Leseberechtigungen für die Ressourcengruppe, zu der der Arbeitsbereich gehört.

  • Zum Installieren oder Verwalten von Lösungen im Inhaltshub benötigen Sie die Rolle Microsoft Sentinel Mitwirkender in der Ressourcengruppe, zu der der Arbeitsbereich gehört.

  • Wenn Sie ein neuer Microsoft Sentinel Kunde sind und über berechtigungen eines Abonnementbesitzers oder eines Benutzerzugriffsadministrators verfügen, wird Ihr Arbeitsbereich automatisch in das Defender-Portal integriert. Benutzer solcher Arbeitsbereiche verwenden Microsoft Sentinel nur im Defender-Portal.

• Microsoft Sentinel ist ein kostenpflichtiger Dienst. Überprüfen Sie die Preisoptionen und die Seite Microsoft Sentinel Preise.

• Überprüfen Sie vor der Bereitstellung von Microsoft Sentinel in einer Produktionsumgebung die Aktivitäten vor der Bereitstellung und die Voraussetzungen für die Bereitstellung Microsoft Sentinel.

Erstellen eines Log Analytics-Arbeitsbereichs

Microsoft Sentinel müssen einem Arbeitsbereich hinzugefügt werden. Wenn Sie bereits über einen Log Analytics-Arbeitsbereich verfügen, fahren Sie mit dem Hinzufügen von Microsoft Sentinel zu Ihrem Log Analytics-Arbeitsbereich fort. Wenn Sie noch nicht über einen Log Analytics-Arbeitsbereich verfügen, können Sie einen erstellen, indem Sie die folgenden Anweisungen befolgen. Eine ausführlichere Erläuterung finden Sie unter Erstellen eines Log Analytics-Arbeitsbereichs. Weitere Informationen zu Log Analytics-Arbeitsbereichen finden Sie unter Entwerfen Ihrer Azure Monitor-Protokollbereitstellung.

Im Log Analytics-Arbeitsbereich, der für Microsoft Sentinel verwendet wird, kann eine Standardaufbewahrung von 30 Tagen gelten. Um sicherzustellen, dass Sie alle Microsoft Sentinel Funktionen und Features verwenden können, erhöhen Sie die Aufbewahrungsdauer auf 90 Tage. Konfigurieren Sie Datenaufbewahrungs- und Archivrichtlinien in Azure Überwachungsprotokollen.

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Microsoft Sentinel, und wählen Sie sie aus.
   

3. Wählen Sie Erstellen aus.

4. Wählen Sie Einen neuen Arbeitsbereich erstellen aus.

5. Wählen Sie unterAbonnementressourcengruppe> die Option Neu erstellen aus. Geben Sie einen Namen für Ihre Ressourcengruppe ein, und wählen Sie OK aus.

6. Geben Sie dem Arbeitsbereich einen Namen, wählen Sie eine Region aus, und wählen Sie dann Überprüfen + erstellen aus. (Sehen Sie sich an, in welchen Regionen Log Analytics verfügbar ist.)

7. Nachdem die Überprüfung erfolgreich war, wählen Sie Erstellen aus. Warten Sie, bis Ihre Bereitstellung abgeschlossen ist.

Hinzufügen von Microsoft Sentinel zu Ihrem Log Analytics-Arbeitsbereich

1. Suchen Sie im Azure-Portal nach Microsoft Sentinel, und wählen Sie sie aus.

2. Wählen Sie Erstellen aus.

3. Wählen Sie den Arbeitsbereich aus, den Sie verwenden möchten, und wählen Sie Hinzufügen aus. Sie können Microsoft Sentinel für mehr als einen Arbeitsbereich ausführen, aber die Daten sind in einem einzelnen Arbeitsbereich isoliert.

   • Die von Microsoft Defender für Cloud erstellten Standardarbeitsbereiche werden in der Liste nicht angezeigt. Sie können Microsoft Sentinel in diesen Arbeitsbereichen nicht installieren.
   • Nach der Bereitstellung in einem Arbeitsbereich unterstützt Microsoft Sentinel das Verschieben dieses Arbeitsbereichs in eine andere Ressourcengruppe oder ein anderes Abonnement nicht.

Hinweis

Wenn Ihr Arbeitsbereich nicht automatisch in das Defender-Portal integriert wird, empfehlen wir das Onboarding für eine einheitliche Benutzeroberfläche bei der Verwaltung von Sicherheitsvorgängen (SecOps) für Microsoft Sentinel und andere Microsoft-Sicherheitsdienste. Weitere Informationen finden Sie unter Onboarding von Microsoft Sentinel im Defender-Portal.

Wenn Ihr Arbeitsbereich automatisch integriert wird oder Sie sich entscheiden, ihren Arbeitsbereich jetzt zu integrieren, können Sie die Verfahren in diesem Artikel über das Defender-Portal fortsetzen. Wenn Sie das Defender-Portal zum ersten Mal verwenden, kommt es zu einer Verzögerung von einigen Minuten, während der Vorgang abgeschlossen ist.

Zugriff auf Microsoft Sentinel im Defender-Portal

So greifen Sie im Defender-Portal auf Microsoft Sentinel zu:

1. Melden Sie sich beim Defender-Portal an.

   Wenn Sie zum ersten Mal auf das Defender-Portal zugreifen, dauert die Bereitstellung Ihres Mandanten einige Zeit.

2. Nach der Bereitstellung werden im Navigationsbereich Microsoft Sentinel angezeigt, in denen Microsoft Sentinel Knoten geschachtelt sind. Zum Beispiel:

   

3. Scrollen Sie im Navigationsbereich nach unten, und wählen Sie Einstellungen > Microsoft Sentinel > Arbeitsbereiche aus, um die Arbeitsbereiche anzuzeigen, die in das Defender-Portal integriert und für Sie verfügbar sind.

Das Defender-Portal unterstützt mehrere Arbeitsbereiche, wobei ein Arbeitsbereich als primärer Arbeitsbereich pro Mandant fungiert. Weitere Informationen finden Sie unter Mehrere Microsoft Sentinel Arbeitsbereiche im Defender-Portal und Microsoft Defender mehrinstanzenfähige Verwaltung.

Installieren einer Lösung über den Inhaltshub

Der Inhaltshub in Microsoft Sentinel ist der zentrale Ort zum Ermitteln und Verwalten von sofort einsatzbereiten Inhalten, einschließlich Datenconnectors. Installieren Sie für diese Schnellstartanleitung die Lösung für Azure Activity.

1. Navigieren Sie in Microsoft Sentinel zur Seite Inhaltshub, und suchen Sie die Lösung Azure Aktivität, und wählen Sie sie aus.

   Defender-Portal

   

   Azure-Portal

   

2. Wählen Sie im Bereich mit den Lösungsdetails auf der Seite Installieren aus.

Einrichten des Datenconnectors

Microsoft Sentinel erfasst Daten aus Diensten und Apps, indem eine Verbindung mit dem Dienst hergestellt und die Ereignisse und Protokolle an Microsoft Sentinel weitergeleitet werden. Installieren Sie für diese Schnellstartanleitung den Datenconnector, um Daten für Azure Activity an Microsoft Sentinel weiterzuleiten.

1. Wählen Sie in Microsoft SentinelKonfigurationsdatenconnectors> aus, suchen Sie nach Azure Aktivitätsdatenconnector, und wählen Sie sie aus.

2. Wählen Sie im Bereich Connectordetails die Option Connectorseite öffnen aus. Verwenden Sie die Anweisungen auf der Seite Azure-Aktivitätsconnector, um den Datenconnector einzurichten.

   1. Wählen Sie Azure Policy Zuweisungs-Assistent starten aus.

   2. Legen Sie auf der Registerkarte Grundlagen den Bereich auf das Abonnement und die Ressourcengruppe fest, die aktivitäten enthält, die an Microsoft Sentinel gesendet werden sollen. Wählen Sie beispielsweise das Abonnement aus, das Ihre Microsoft Sentinel instance enthält.

   3. Wählen Sie die Registerkarte Parameter aus, und legen Sie den primären Log Analytics-Arbeitsbereich fest. Dies sollte der Arbeitsbereich sein, in dem Microsoft Sentinel installiert ist.

   4. Wählen Sie Überprüfen + erstellen und erstellen aus.

Generieren von Aktivitätsdaten

Wir generieren einige Aktivitätsdaten, indem wir eine Regel aktivieren, die in der Azure Activity-Lösung für Microsoft Sentinel enthalten war. In diesem Schritt erfahren Sie auch, wie Sie Inhalte im Inhaltshub verwalten.

1. Wählen Sie Microsoft Sentinel Inhaltshub aus, und suchen Sie in der Lösung Azure Aktivität nach der Bereitstellungsregelvorlage verdächtige Ressource, und wählen Sie sie aus.

2. Wählen Sie im Detailbereich Regel erstellen aus, um mithilfe des Analyseregel-Assistenten eine neue Regel zu erstellen.

3. Ändern Sie auf der Seite Analyseregel-Assistent – Neue geplante Regel erstellen den Status in Aktiviert.

   Lassen Sie auf dieser Registerkarte und allen anderen Registerkarten im Assistenten die Standardwerte unverändert.

4. Wählen Sie auf der Registerkarte Überprüfen und erstellendie Option Erstellen aus.

Anzeigen der in Microsoft Sentinel erfassten Daten

Nachdem Sie nun den Connector für Azure Activity-Daten aktiviert und einige Aktivitätsdaten generiert haben, können Sie die Aktivitätsdaten anzeigen, die dem Arbeitsbereich hinzugefügt wurden.

1. Wählen Sie in Microsoft SentinelKonfigurationsdatenconnectors> aus, suchen Sie nach Azure Aktivitätsdatenconnector, und wählen Sie sie aus.

2. Wählen Sie im Bereich Connectordetails die Option Connectorseite öffnen aus.

3. Überprüfen Sie den Status des Datenconnectors. Es sollte verbunden sein.

   

4. Wählen Sie eine Registerkarte aus, um fortzufahren, je nachdem, welches Portal Sie verwenden:

   Defender-Portal

   1. Wählen Sie Zu Log Analytics wechseln aus, um die Seite Erweiterte Suche zu öffnen.

   2. Wählen Sie oben im Bereich neben der Registerkarte Neue Abfrage die + Registerkarte aus, um eine neue Abfrage hinzuzufügen.

   3. Führen Sie die folgende Abfrage aus, um das Aktivitätsdatum anzuzeigen, das im Arbeitsbereich erfasst wurde:

      AzureActivity
      

   Zum Beispiel:

   

   Azure-Portal

   1. Wählen Sie Gehe zu Abfrage aus, um die Seite Protokolle im Azure-Portal zu öffnen.

   2. Wählen Sie oben im Bereich neben der Registerkarte Neue Abfrage 1 die + Registerkarte aus, um eine neue Abfrage hinzuzufügen.

   3. Wechseln Sie auf der Seite vom einfachen Modus in den KQL-Modus, und führen Sie die folgende Abfrage aus, um das im Arbeitsbereich erfasste Aktivitätsdatum anzuzeigen:

      AzureActivity
      

   Zum Beispiel:

   

---

Nächste Schritte

In dieser Schnellstartanleitung haben Sie Microsoft Sentinel aktiviert und eine Lösung aus dem Inhaltshub installiert. Anschließend richten Sie einen Datenconnector ein, um mit der Erfassung von Daten in Microsoft Sentinel zu beginnen. Sie haben auch überprüft, ob Daten erfasst werden, indem Sie die Daten im Arbeitsbereich anzeigen.

Wenn Sie ein neuer Kunde sind, der automatisch in das Defender-Portal integriert wurde, greifen Ihre Benutzer nur im Defender-Portal auf Microsoft Sentinel zu. Wenn Sie die Microsoft Sentinel-Dokumentation verwenden, stellen Sie sicher, dass Sie die Defender-Portalversion der Dokumentation auswählen.

• Informationen zum Visualisieren der gesammelten Daten mithilfe der Dashboards und Arbeitsmappen finden Sie unter Visualisieren gesammelter Daten.
• Informationen zum Erkennen von Bedrohungen mithilfe von Analyseregeln finden Sie unter Tutorial: Erkennen von Bedrohungen mithilfe von Analyseregeln in Microsoft Sentinel.