Mulai Cepat: Onboard Microsoft Sentinel

Dalam mulai cepat ini, Anda mengaktifkan Microsoft Sentinel, lalu menyiapkan konektor data untuk memantau dan melindungi lingkungan Anda. Setelah Anda menghubungkan sumber data Anda menggunakan konektor data, Anda memilih dari galeri buku kerja yang dibuat oleh ahli yang menampilkan wawasan berdasarkan data Anda. Buku kerja ini dapat dengan mudah dikustomisasi dengan kebutuhan Anda.

Microsoft Sentinel dilengkapi dengan banyak konektor untuk produk Microsoft, misalnya konektor layanan ke layanan Pertahanan Microsoft 365. Anda juga dapat mengaktifkan konektor bawaan untuk produk non-Microsoft, misalnya Syslog atau Common Event Format (CEF). Pelajari lebih lanjut tentang konektor data.

Prasyarat secara global

Ketersediaan wilayah serta residensi data

  • Microsoft Sentinel dapat berjalan di ruang kerja di sebagian besar wilayah tempat Log Analytics biasanya tersedia. Wilayah tempat Analitik Log baru tersedia mungkin memerlukan beberapa waktu untuk menyetor layanan Microsoft Sentinel.

  • Lihat Residensi data di Azure untuk informasi tentang Geo dan wilayah dan tempat data pelanggan disimpan.

  • Data residensi satu wilayah saat ini hanya tersedia di wilayah Asia Tenggara (Singapura) dari geografi Asia Pasifik, dan di wilayah Brasil Selatan (Negara Bagian Sao Paulo) dari geografi Brasil.

    Penting

    • Dengan mengaktifkan aturan tertentu yang menggunakan mesin pembelajaran mesin (ML), Anda memberi izin kepada Microsoft untuk menyalin data relevan yang diserap di luar geografi ruang kerja Microsoft Sentinel Anda sebagaimana diwajibkan oleh mesin pembelajaran mesin untuk memproses aturan ini.

Mengaktifkan Microsoft Sentinel

  1. Masuk ke portal Azure. Pastikan langganan tempat Microsoft Sentinel dibuat telah dipilih.

  2. Cari dan pilih Microsoft Sentinel.

    Cuplikan layar pencarian layanan saat mengaktifkan Microsoft Sentinel.

  3. Pilih Tambahkan.

  4. Silakan pilih ruang kerja yang ingin Anda gunakan atau buat ruang kerja baru. Anda dapat menjalankan Microsoft Sentinel di lebih dari satu ruang kerja, tetapi data diisolasi ke satu ruang kerja. Perhatikan bahwa ruang kerja default yang dibuat oleh Microsoft Defender untuk Cloud tidak ditampilkan dalam daftar. Anda tidak dapat menginstal Microsoft Sentinel di ruang kerja ini.

    Cuplikan layar pemilihan ruang kerja saat mengaktifkan Microsoft Sentinel.

    Penting

    • Setelah disebarkan di ruang kerja, Microsoft Sentinel saat ini tidak mendukung pemindahan ruang kerja ke langganan atau grup sumber daya lainnya.

      Jika Anda telah memindahkan ruang kerja, nonaktifkan semua aturan aktif di bawah Analytics serta aktifkan kembali setelah lima menit. Hal ini harus efektif dalam banyak kasus, meskipun, untuk menegaskan kembali, itu tidak didukung serta dilakukan dengan risiko Anda sendiri.

  5. Pilih Tambahkan Microsoft Sentinel.

Menyiapkan konektor data

Microsoft Sentinel menyerap data dari layanan serta aplikasi dengan menyambungkan ke layanan serta meneruskan peristiwa juga log ke Microsoft Azure Sentinel.

  • Untuk mesin virtual dan fisik, Anda dapat menginstal agen Log Analytics yang mengumpulkan log dan meneruskannya ke Microsoft Sentinel.
  • Untuk firewall serta proksi, Microsoft Sentinel menginstal agen Log Analytics di server Syslog Linux, tempat asal agen mengumpulkan file log serta meneruskannya ke Microsoft Sentinel.
  1. Dari menu utama, silakan pilih Konektor data. Hal ini membuka galeri konektor data.

  2. Pilih konektor data, lalu pilih tombol Halaman buka konektor.

  3. Halaman konektor menampilkan instruksi untuk mengonfigurasi konektor dan instruksi tambahan lain yang mungkin diperlukan.

    Misalnya, jika Anda memilih konektor data Azure Active Directory, yang memungkinkan Anda mengalirkan log dari Azure AD ke Microsoft Sentinel, Anda dapat memilih jenis log yang ingin Anda dapatkan - log masuk dan/atau log audit.
    Ikuti petunjuk penginstalan. Untuk pelajari lebih lanjut, baca panduan koneksi yang relevan atau pelajari tentang konektor data Microsoft Sentinel.

  4. Tab Langkah berikutnya di halaman konektor memperlihatkan buku kerja bawaan yang relevan, contoh kueri, serta templat aturan analitik yang menyertai konektor data. Anda dapat menggunakan apa asertaya atau memodifikasinya - dengan cara apa pun Anda dapat segera mendapatkan wawasan menarik di seluruh data Anda.

Setelah Anda menyiapkan konektor data Anda, data Anda mulai mengalir ke Microsoft Sentinel dan siap untuk Anda gunakan bekerja. Anda dapat menampilkan log di buku kerja bawaan serta mulai membuat kueri di Analitik Log untuk menyelidiki data.

Tinjau praktik terbaik pengumpulan data.

Langkah berikutnya

Untuk informasi selengkapnya, lihat: