צירוף Microsoft Sentinel

בתבנית להתחלה מהירה זו, תוכל להפעיל Microsoft Sentinel ולהתקין פתרון ממרכז התוכן. לאחר מכן, תגדיר מחבר נתונים כדי להתחיל להוסיף נתונים לתוך Microsoft Sentinel.

Microsoft Sentinel מגיע עם מחברי נתונים רבים עבור מוצרי Microsoft, כגון Microsoft Defender XDR שירות לשירות. באפשרותך גם להפוך מחברים מוכללים לזמינים עבור מוצרים שאינם של Microsoft, כגון Syslog או Common Event Format (CEF). להתחלה מהירה זו, תשתמש במחבר Azure נתוני הפעילות הזמין בפתרון הפעילות של Azure עבור Microsoft Sentinel.

כדי להתחבר Microsoft Sentinel באמצעות ה- API, עיין בגירסה הנתמכת העדכנית ביותר של Sentinel צירוף פריטים.

דרישות מוקדמות

  • מנוי Azure פעיל. אם אין לך חשבון, צור חשבון ללא תשלום לפני שתתחיל.

  • הרשאות:

    • כדי להפוך Microsoft Sentinel לזמין, דרושות לך הרשאות משתתף עבור המנוי שבו שוכנת סביבת Microsoft Sentinel העבודה הנוכחית.

    • כדי להשתמש Microsoft Sentinel, דרושות לך Microsoft Sentinel 'משתתף' או Microsoft Sentinel 'קורא' בקבוצת המשאבים שסביבת העבודה שייכת אליה.

    • כדי להתקין או לנהל פתרונות ברכזת התוכן, דרוש לך Microsoft Sentinel 'משתתף' בקבוצת המשאבים שסביבת העבודה שייכת לה.

    • אם אתה לקוח Microsoft Sentinel ויש לך הרשאות של בעלים של מנוי או של מנהל גישת משתמש, סביבת העבודה שלך תתווסף באופן אוטומטי לפורטל Defender. משתמשים בסביבות עבודה כאלה משתמשים Microsoft Sentinel בפורטל Defender בלבד.

  • Microsoft Sentinel הוא שירות בתשלום. סקור את אפשרויות התמחור ואת Microsoft Sentinel התמחור.

  • לפני פריסת Microsoft Sentinel בסביבת ייצור, סקור את פעילויות הפריסה מראש ואת הדרישות המוקדמות לפריסת Microsoft Sentinel.

יצירת סביבת עבודה של ניתוח יומן רישום

Microsoft Sentinel להוספה לסביבת עבודה. אם כבר יש לך סביבת עבודה של ניתוח יומן רישום, דלג להוספת Microsoft Sentinel לסביבת העבודה 'ניתוח יומן רישום'. אם עדיין אין לך סביבת עבודה של ניתוח יומן רישום, באפשרותך ליצור סביבת עבודה באמצעות ההוראות שלהלן, או לקבלת הסבר מפורט יותר, עבור אל יצירת סביבת עבודה של ניתוח יומן רישום. לקבלת מידע נוסף אודות סביבות עבודה של ניתוח יומן רישום, ראה עיצוב פריסת יומני Azure של ניטור.

ייתכן שיש לך שמירת ברירת מחדל של 30 יום בסביבת העבודה ניתוח יומן רישום המשמשת עבור Microsoft Sentinel. כדי לוודא שבאפשרותך להשתמש בכל התכונות והפונקציונליות Microsoft Sentinel, הגדל את השמירה ל- 90 יום. קבע תצורה של מדיניות שמירה ואחסון בארכיון בארכיון Azure יומני רישום של ניטור.

  1. היכנס לפורטל פורטל Microsoft Azure.

  2. חפש ובחר Microsoft Sentinel.
    צילום מסך של חיפוש ובחירה Microsoft Sentinel מהפורטל Azure שלך.

  3. בחר צור. צילום מסך של בחירה באפשרות 'צור' כדי להתחיל ליצור סביבת עבודה חדשה של 'ניתוח יומן רישום'.

  4. בחר צור סביבת עבודה חדשה. צילום מסך של בחירת צור סביבת עבודה חדשה.

  5. תחת הקבוצה משאבי>מנוי, בחר צור חדש. הזן שם עבור קבוצת המשאבים ובחר אישור. צילום מסך של יצירת מסך סביבת עבודה של 'ניתוח יומן רישום'. תחת מנוי וקבוצת משאבים, האפשרות צור חדש נבחרה.

  6. תן שם לסביבת העבודה ובחר אזור ולאחר מכן בחר סקירה + צור. (בדוק בא אילו אזורים 'ניתוח יומן רישום' זמין.)

  7. לאחר השלמת האימות, בחר צור. המתן עד להשלמת הפריסה.

הוספת Microsoft Sentinel לסביבת העבודה 'ניתוח יומן רישום'

  1. מהפורטל Azure, חפש ובחר Microsoft Sentinel.

  2. בחר צור. צילום מסך של בחירת צור כדי ליצור סביבת עבודה חדשה של ניתוח יומן רישום.

  3. בחר את סביבת העבודה שבה ברצונך להשתמש ובחר הוסף. באפשרותך להפעיל Microsoft Sentinel יותר בסביבת עבודה אחת, אך הנתונים מבודדים לסביבת עבודה בודדת.

    • סביבות העבודה המוגדרות כברירת Microsoft Defender- for Cloud אינן מוצגות ברשימה. לא ניתן להתקין Microsoft Sentinel בסביבות עבודה אלה.
    • לאחר הפריסה בסביבת עבודה, Microsoft Sentinel אינו תומך בהעברת סביבת עבודה זו לקבוצת משאבים אחרת או למנוי אחר.

הערה

אם סביבת העבודה שלך אינה מחוברת באופן אוטומטי לפורטל Defender, מומלץ לקלוט חוויה מאוחדת בניהול פעולות אבטחה (SecOps) הן ב- Microsoft Sentinel והן שירותי אבטחה אחרים של Microsoft. לקבלת מידע נוסף, ראה צירוף Microsoft Sentinel לפורטל Defender.

אם סביבת העבודה שלך תיכלל באופן אוטומטי, או אם תחליט לקלוט את סביבת העבודה שלך כעת, תוכל להמשיך את ההליכים במאמר זה מפורטל Defender. אם זו הפעם הראשונה שאתה משתמש בפורטל Defender, התהליך יימשך כמה דקות.

גישה Microsoft Sentinel בפורטל Defender

כדי לגשת Microsoft Sentinel בפורטל Defender:

  1. היכנס לפורטל Defender.

    בפעם הראשונה שאתה ניגש לפורטל Defender, הקצאת הדייר תחלוף זמן מה.

  2. לאחר הקצאת משאבים, תראה את האפשרויות Microsoft Sentinel בחלונית הניווט, כאשר הצמתים Microsoft Sentinel מקוננים בתוכה. לדוגמה:

    צילום מסך Microsoft Sentinel אפליקציות בפורטל Defender.

  3. גלול מטה בחלונית הניווט ובחר >> הגדרות Microsoft Sentinel סביבות עבודה כדי להציג את סביבות העבודה המשולבות בפורטל Defender וזמינה עבורך.

פורטל Defender תומך בסביבות עבודה מרובות, עם סביבת עבודה אחת הפועלת כסביבת העבודה הראשית לכל דייר. לקבלת מידע נוסף, ראה Microsoft Sentinel סביבות עבודה מרובות בפורטל DefenderMicrosoft Defender מרובות.

התקנת פתרון ממרכז התוכן

מרכז התוכן ב- Microsoft Sentinel הוא המיקום המרכזי שבו ניתן לגלות ולנהל תוכן מוכלל, כולל מחברי נתונים. עבור תבנית להתחלה מהירה זו, התקן את הפתרון Azure פעילות.

  1. ב Microsoft Sentinel, עבור אל דף רכזת התוכן וחפש ובחר את Azure פעילות.

  2. בחלונית פרטי הפתרון בצד, בחר התקן.

הגדרת מחבר הנתונים

Microsoft Sentinel לתליית נתונים מהשירותים ומהאפליקציות על-ידי התחברות לשירות והעברת האירועים ביומני הרישום Microsoft Sentinel. להתחלה מהירה זו, התקן את מחבר הנתונים כדי להעביר נתונים כדי Azure פעילות Microsoft Sentinel.

  1. בתיבה Microsoft Sentinel, בחר מחברי>נתוני תצורה וחפש ובחר את Azure נתוני הפעילות.

  2. בחלונית פרטי המחבר, בחר פתח דף מחבר. השתמש בהוראות המופיעות בדף Azure מחבר פעילות כדי להגדיר את מחבר הנתונים.

    1. בחר הפעל Azure הקצאת המדיניות.

    2. בכרטיסיה יסודות, הגדר את הטווח למנוי ולקבוצת המשאבים שיש פעילות לשליחה Microsoft Sentinel. לדוגמה, בחר את המנוי המכיל את Microsoft Sentinel שלך.

    3. בחר את הכרטיסיה פרמטרים והגדר את סביבת העבודה של ניתוח יומן הרישום הראשי. זו צריכה להיות סביבת העבודה Microsoft Sentinel מותקנת.

    4. בחר סקירה + יצירהויצירה.

צור נתוני פעילות

בוא נפיק נתוני פעילות מסוימים על-ידי הפעלת כלל שנכלל בפתרון Azure עבור Microsoft Sentinel. שלב זה מראה לך גם כיצד לנהל תוכן במרכז התוכן.

  1. ב Microsoft Sentinel, בחר רכזת תוכן וחפש ובחר תבנית כלל פריסה חשודה של משאבים בפתרון Azure פעילות.

  2. בחלונית הפרטים, בחר צור כלל כדי ליצור כלל חדש באמצעות אשף כללי הניתוח.

  3. באשף כללי הניתוח - יצירת עמוד חדש של כלל מתוזמן , שנה את המצבלזמין.

    בכרטיסיה זו ובכרטיסיות האחרות באשף, השאר את ערכי ברירת המחדל כפי שהם.

  4. בכרטיסיה סקירה ויצירה , בחר צור.

הצגת נתונים שמקורם Microsoft Sentinel

כעת, לאחר הפיכת מחבר נתוני הפעילות Azure לזמין ולהפיק נתוני פעילות מסוימים, בוא נראה את נתוני הפעילות שנוספו לסביבת העבודה.

  1. בתיבה Microsoft Sentinel, בחר מחברי>נתוני תצורה וחפש ובחר את Azure נתוני הפעילות.

  2. בחלונית פרטי המחבר, בחר פתח דף מחבר.

  3. סקור את המצב של מחבר הנתונים. הוא אמור להיות מחובר.

    צילום מסך של מחבר הנתונים Azure פעילות אישית כאשר המצב מוצג כ'מחובר'.

  4. בחר כרטיסיה כדי להמשיך, בהתאם לפורטל שבו אתה משתמש:

    1. בחר עבור אל ניתוח יומן רישום כדי לפתוח את דף הציד המתקדם.

    2. בחלק העליון של החלונית, לצד הכרטיסיה שאילתה חדשה , בחר את הכרטיסיה + כדי להוסיף שאילתה חדשה.

    3. הפעל את השאילתה הבאה כדי להציג את תאריך הפעילות שהוכנס לסביבת העבודה:

      AzureActivity

    לדוגמה:

    צילום מסך של השאילתה AzureActivity בדף 'יומני רישום' בפורטל Defender.

השלבים הבאים

בתבנית להתחלה מהירה זו, הפעלת Microsoft Sentinel והתקנת פתרון ממרכז התוכן. לאחר מכן, הגדר מחבר נתונים כדי להתחיל להוסיף נתונים לתוך Microsoft Sentinel. בנוסף, אימתת שנתונים מוכללים על-ידי הצגת הנתונים בסביבת העבודה.

אם אתה לקוח חדש שצירוף אוטומטי לפורטל Defender, המשתמשים שלך לגשת אל Microsoft Sentinel בפורטל Defender בלבד. בעת השימוש בתיעוד Microsoft Sentinel, הקפד לבחור את גירסת פורטל Defender של התיעוד.

  • Last updated on