Laivan Microsoft Sentinel

Tässä pikaoppaassa otat käyttöön Microsoft Sentinel ja asennat ratkaisun sisältökeskuksesta. Sen jälkeen määrität tietoyhdistimen, joka aloittaa tietojen sisäänotton Microsoft Sentinel.

Microsoft Sentinel sisältää useita Microsoft-tuotteiden tietoliittimiä, kuten Microsoft Defender XDR palvelusta palveluun -liittimen. Voit myös ottaa käyttöön sisäiset liittimet muille kuin Microsoft-tuotteille, kuten Syslog tai Common Event Format (CEF). Tässä pikaoppaassa käytetään Azure Activity -tietoyhdistintä, joka on käytettävissä Azure Activity -ratkaisussa Microsoft Sentinel.

Jos haluat ottaa Microsoft Sentinel käyttöön ohjelmointirajapinnan avulla, katso Sentinel perehdyttämistilojen uusin tuettu versio.

Ennakkovaatimukset

Log Analytics -työtilan luominen

Microsoft Sentinel on lisättävä työtilaan. Jos sinulla on jo Log Analytics -työtila, siirry kohtaan Microsoft Sentinel lisääminen Log Analytics -työtilaan. Jos sinulla ei vielä ole Log Analytics -työtilaa, voit luoda työtilan alla olevien ohjeiden avulla tai lisätietoja on kohdassa Log Analytics -työtilan luominen. Lisätietoja Log Analytics -työtiloista on artikkelissa Azure Valvontalokien käyttöönotto.

Microsoft Sentinel käytetyssä Log Analytics -työtilassa voi olla oletusarvoisesti 30 päivän säilytysaika. Jos haluat varmistaa, että voit käyttää kaikkia Microsoft Sentinel toimintoja ja ominaisuuksia, korota säilytys 90 päivään. Määritä tietojen säilytys- ja arkistokäytännöt valvontalokien Azure.

  1. Kirjaudu Azure-portaaliin.

  2. Etsi ja valitse Microsoft Sentinel.
    Näyttökuva Microsoft Sentinel hakemisesta ja valitsemisesta Azure-portaali.

  3. Valitse Luo. Näyttökuva Luo-vaihtoehdon valitsemisesta uuden Log Analytics -työtilan luomisen aloittamiseksi.

  4. Valitse Luo uusi työtila. Näyttökuva Luo uusi työtila -vaihtoehdon valitsemisesta.

  5. ValitseTilausresurssiryhmä-kohdasta>Luo uusi. Anna resurssiryhmälle nimi ja valitse OK. Näyttökuva Log Analytics -työtilanäytön luomisesta. Valitse Tilaus ja resurssiryhmä -kohdassa Luo uusi.

  6. Anna työtilalle nimi ja valitse alue ja valitse sitten Tarkista + Luo. (Katso , millä alueilla Log Analytics on käytettävissä.)

  7. Kun vahvistus on ohitettu, valitse Luo. Odota, kunnes käyttöönotto on valmis.

Microsoft Sentinel lisääminen Log Analytics -työtilaan

  1. Etsi ja valitse Azure-portaaliMicrosoft Sentinel.

  2. Valitse Luo. Näyttökuva Luo-vaihtoehdon valitsemisesta uuden Log Analytics -työtilan luomiseksi.

  3. Valitse työtila, jota haluat käyttää, ja valitse Lisää. Voit suorittaa Microsoft Sentinel useammassa kuin yhdessä työtilassa, mutta tiedot eristetään yhteen työtilaan.

    • Microsoft Defender Cloudille luomat oletustyötilat eivät näy luettelossa. Et voi asentaa Microsoft Sentinel näihin työtiloihin.
    • Kun työtila on otettu käyttöön, Microsoft Sentinel ei tue kyseisen työtilan siirtämistä toiseen resurssiryhmään tai tilaukseen.

Huomautus

Jos työtilaasi ei lisätä automaattisesti Defender-portaaliin, suosittelemme perehdytystä suojaustoimintojen (SecOps) yhtenäiseen hallintaan sekä Microsoft Sentinel että muissa Microsoftin tietoturvapalveluissa. Lisätietoja on artikkelissa Onboard Microsoft Sentinel Defender-portaaliin.

Jos työtilasi on automaattisesti perehdytty tai jos päätät ottaa työtilan käyttöön nyt, voit jatkaa tämän artikkelin toimintosarjoja Defender-portaalista. Jos tämä on ensimmäinen kerta, kun käytät Defender-portaalia, odota muutama minuutti, kun prosessi on valmis.

Access Microsoft Sentinel Defender-portaalissa

Voit käyttää Microsoft Sentinel Defender-portaalissa seuraavasti:

  1. Kirjaudu Defender-portaaliin.

    Kun käytät Defender-portaalia ensimmäistä kertaa, vuokraajan valmistelu vie jonkin aikaa.

  2. Valmistelun jälkeen näet Microsoft Sentinel käytettävissä siirtymisruudussa, ja Microsoft Sentinel solmut ovat sisäkkäin. Esimerkki:

    Näyttökuva Microsoft Sentinel Defender-portaalissa.

  3. Vieritä siirtymisruudussa alaspäin ja valitse Asetukset > Microsoft Sentinel > Työtilat, jotta näet Defender-portaaliin lisätyt ja käytettävissäsi olevat työtilat.

Defender-portaali tukee useita työtiloja, ja yksi työtila toimii ensisijaisena työtilana vuokraajaa kohden. Lisätietoja on artikkelissa Useita Microsoft Sentinel työtiloja Defender-portaalissa ja Microsoft Defender usean kohteen hallinta.

Ratkaisun asentaminen sisältökeskuksesta

Microsoft Sentinel sisältökeskus on keskitetty sijainti, jossa voit etsiä ja hallita valmiita sisältöjä, kuten tietoyhdistimiä. Asenna Azure Activity -ratkaisu tätä pikaopasta varten.

  1. Siirry Microsoft Sentinel Sisältökeskus-sivulle ja etsi ja valitse Azure Toiminta-ratkaisu.

  2. Valitse ratkaisun tiedot -ruudussa Asenna.

Tietoliittimen määrittäminen

Microsoft Sentinel käyttää tietoja palveluista ja sovelluksista muodostamalla yhteyden palveluun ja välittämällä tapahtumat ja lokit Microsoft Sentinel. Asenna tässä pikaoppaassa tietoyhdistin tietojen edelleenlähtämiseksi Azure Toimintoa varten Microsoft Sentinel.

  1. Valitse Microsoft SentinelMääritystietoliittimet> ja etsi ja valitse Azure Activity data connector.

  2. Valitse liittimen tietoruudussa Avaa liitinsivu. Määritä tietoyhdistin Azure Activity connector -sivun ohjeiden avulla.

    1. Valitse Käynnistä Azure käytännön määrityksen ohjattu toiminto.

    2. Määritä Perustiedot-välilehdessäVaikutusalue tilaukseen ja resurssiryhmään, jolla on toiminto lähetettäväksi Microsoft Sentinel. Valitse esimerkiksi tilaus, joka sisältää Microsoft Sentinel esiintymäsi.

    3. Valitse Parametrit-välilehti ja määritä Ensisijainen lokianalyysi -työtila. Tämän pitäisi olla työtila, johon Microsoft Sentinel on asennettu.

    4. Valitse Tarkista + Luo ja Luo.

Toimintotietojen luominen

Luodaanpa joitakin toimintotietoja ottamalla käyttöön sääntö, joka sisältyi Azure Toiminto-ratkaisuun Microsoft Sentinel. Tässä vaiheessa näytetään myös, miten voit hallita sisältöä sisältökeskuksessa.

  1. Valitse Microsoft Sentinel Sisältökeskus ja etsi epäilyttävän resurssin käyttöönottosääntömalliAzure toimintaratkaisusta.

  2. Valitse tiedot-ruudussa Luo sääntö luodaksesi uuden säännön ohjatun analytiikkasäännön luomisen avulla.

  3. Vaihda ohjatussa analytiikkasäännön luomistoiminnossa tilaksiKäytössä.

    Jätä tämän välilehden ja kaikkien muiden ohjatun toiminnon välilehtien oletusarvot ennalle.

  4. Valitse Tarkista ja luo -välilehdessä Luo.

Näytä Microsoft Sentinel

Nyt kun olet ottanut käyttöön Azure Activity Data Connectorin ja luonut joitakin toimintotietoja, voit tarkastella työtilaan lisättyjä toimintotietoja.

  1. Valitse Microsoft SentinelMääritystietoliittimet> ja etsi ja valitse Azure Activity data connector.

  2. Valitse liittimen tietoruudussa Avaa liitinsivu.

  3. Tarkista tietoliittimen tila . Sen pitäisi olla Yhdistetty.

    Näyttökuva Azure Activity -tietoliittimestä, jonka tila on yhdistetty.

  4. Jatka valitsemalla välilehti käyttämästäsi portaalista riippuen:

    1. Avaa lisämetsästyssivu valitsemalla Siirry kirjaan analytiikkaan.

    2. Valitse ruudun yläreunassa Uusi kysely -välilehden + vieressä lisää uusi kysely -välilehti.

    3. Voit tarkastella työtilaan kirjattua toiminnon päivämäärää suorittamalla seuraavan kyselyn:

      AzureActivity

    Esimerkki:

    Näyttökuva AzureActivity-kyselystä Defender-portaalin Lokit-sivulla.

Seuraavat vaiheet

Tässä pikaoppaassa otit Microsoft Sentinel käyttöön ja asensit ratkaisun sisältökeskuksesta. Sitten määrität tietoyhdistimen, joka alkaa käyttää tietoja Microsoft Sentinel. Olet myös varmistanut, että tietoja käytetään tarkastelemalla työtilan tietoja.

Jos olet uusi asiakas, joka on lisätty automaattisesti Defender-portaaliin, käyttäjät voivat käyttää Microsoft Sentinel vain Defender-portaalissa. Kun käytät Microsoft Sentinel dokumentaatiota, muista valita dokumentaation Defender-portaaliversio.

  • Last updated on