Mulai Cepat: Onboard Microsoft Sentinel
Dalam mulai cepat ini, Anda akan mengaktifkan Microsoft Sentinel dan menginstal solusi dari hub konten. Kemudian, Anda akan menyiapkan konektor data untuk mulai menyerap data ke Microsoft Azure Sentinel.
Microsoft Azure Sentinel dilengkapi dengan banyak konektor data untuk produk Microsoft seperti konektor layanan-ke-layanan Pertahanan Microsoft XDR. Anda juga dapat mengaktifkan konektor bawaan untuk produk non-Microsoft seperti Syslog atau Common Event Format (CEF). Untuk mulai cepat ini, Anda akan menggunakan konektor data Aktivitas Azure yang tersedia di solusi Aktivitas Azure untuk Microsoft Azure Sentinel.
Prasyarat
Langganan Azure Aktif. Jika Anda tidak memilikinya, buat akun gratis sebelum memulai.
Ruang kerja Log Analytics. Mempelajari cara membuat ruang kerja Analitik Log. Untuk informasi selengkapnya tentang ruang kerja Log Analytics, lihat Mendesain penyebaran Log Azure Monitor Anda.
Anda dapat memiliki default retensi 30 hari di ruang kerja Log Analytics yang digunakan untuk Microsoft Sentinel. Untuk memastikan bahwa Anda dapat menggunakan semua fungsionalitas dan fitur Microsoft Sentinel, tingkatkan retensi menjadi 90 hari. Mengonfigurasi kebijakan retensi data dan arsip di Log Azure Monitor.
Izin:
Untuk mengaktifkan Microsoft Sentinel, Anda memerlukan izin kontributor untuk langganan tempat ruang kerja Microsoft Sentinel berada.
Untuk menggunakan Microsoft Azure Sentinel, Anda memerlukan izin Kontributor Microsoft Sentinel atau Pembaca Microsoft Sentinel pada grup sumber daya tempat ruang kerja berada.
Untuk menginstal atau mengelola solusi di hub konten, Anda memerlukan peran Kontributor Microsoft Sentinel pada grup sumber daya tempat ruang kerja berada.
Microsoft Sentinel adalah layanan berbayar. Tinjau opsi harga dan halaman harga Microsoft Sentinel.
Sebelum menyebarkan Microsoft Sentinel ke lingkungan produksi, tinjau aktivitas pra-penyebaran dan prasyarat untuk menyebarkan Microsoft Azure Sentinel.
Mengaktifkan Microsoft Sentinel
Untuk memulai, tambahkan Microsoft Azure Sentinel ke ruang kerja yang sudah ada atau buat yang baru.
Masuk ke portal Azure.
Cari dan pilih Microsoft Sentinel.
Pilih Buat.
Silakan pilih ruang kerja yang ingin Anda gunakan atau buat ruang kerja baru. Anda dapat menjalankan Microsoft Sentinel di lebih dari satu ruang kerja, tetapi data diisolasi ke satu ruang kerja.
- Ruang kerja default yang dibuat oleh Microsoft Defender untuk Cloud tidak diperlihatkan dalam daftar. Anda tidak dapat menginstal Microsoft Sentinel di ruang kerja ini.
- Setelah disebarkan di ruang kerja, Microsoft Azure Sentinel tidak mendukung pemindahan ruang kerja tersebut ke grup sumber daya atau langganan lain.
Pilih Tambahkan.
Sebagai alternatif untuk menggunakan portal, Anda dapat melakukan onboarding ke Microsoft Sentinel menggunakan permintaan API, dengan memanggil api ARM OnboardingStates.
Menginstal solusi dari hub konten
Hub konten di Microsoft Azure Sentinel adalah lokasi terpusat untuk menemukan dan mengelola konten di luar kotak termasuk konektor data. Untuk mulai cepat ini, instal solusi untuk Aktivitas Azure.
Di Microsoft Azure Sentinel, pilih Hub konten.
Temukan dan pilih solusi Aktivitas Azure.
Pada toolbar di bagian atas halaman, pilih
Instal/Perbarui.
Menyiapkan konektor data
Microsoft Sentinel menyerap data dari layanan serta aplikasi dengan menyambungkan ke layanan serta meneruskan peristiwa juga log ke Microsoft Azure Sentinel. Untuk mulai cepat ini, instal konektor data untuk meneruskan data untuk Aktivitas Azure ke Microsoft Azure Sentinel.
Di Microsoft Azure Sentinel, pilih Konektor data.
Cari dan pilih konektor data Aktivitas Azure.
Di panel detail untuk konektor, pilih Buka halaman konektor.
Tinjau instruksi untuk mengonfigurasi konektor.
Pilih Luncurkan Wizard Penetapan Azure Policy.
Pada tab Dasar , atur Cakupan ke grup langganan dan sumber daya yang memiliki aktivitas untuk dikirim ke Microsoft Azure Sentinel. Misalnya, pilih langganan yang berisi instans Microsoft Sentinel Anda.
Pilih tab Parameter.
Atur ruang kerja Analitik Log Utama. Ini harus menjadi ruang kerja tempat Microsoft Azure Sentinel diinstal.
Pilih Tinjau + buat dan Buat.
Hasilkan data aktivitas
Mari kita hasilkan beberapa data aktivitas dengan mengaktifkan aturan yang disertakan dalam solusi Aktivitas Azure untuk Microsoft Azure Sentinel. Langkah ini juga menunjukkan kepada Anda cara mengelola konten di hub konten.
Di Microsoft Azure Sentinel, pilih Hub konten.
Temukan dan pilih solusi Aktivitas Azure.
Dari panel sisi kanan, pilih Kelola.
Temukan dan pilih templat aturan Penyebaran Sumber Daya Mencurigakan.
Pilih Konfigurasi.
Pilih aturan dan Buat aturan.
Pada tab Umum , ubah Status menjadi diaktifkan. Biarkan nilai default lainnya.
Terima default pada tab lain.
Pada tab Tinjau dan buat , pilih Buat.
Menampilkan data yang diserap ke Microsoft Azure Sentinel
Sekarang setelah Anda mengaktifkan konektor data Aktivitas Azure dan membuat beberapa data aktivitas mari kita lihat data aktivitas yang ditambahkan ke ruang kerja.
Di Microsoft Azure Sentinel, pilih Konektor data.
Cari dan pilih konektor data Aktivitas Azure.
Di panel detail untuk konektor, pilih Buka halaman konektor.
Tinjau Status konektor data. Ini harus Koneksi.
Di panel sisi kiri di atas bagan, pilih Buka analitik log.
Di bagian atas panel, di samping tab Kueri baru 1 , pilih untuk + menambahkan tab kueri baru.
Di panel kueri, jalankan kueri berikut untuk menampilkan tanggal aktivitas yang diserap ke dalam ruang kerja.
AzureActivity
Langkah berikutnya
Dalam mulai cepat ini, Anda mengaktifkan Microsoft Azure Sentinel dan menginstal solusi dari hub konten. Kemudian, Anda menyiapkan konektor data untuk mulai menyerap data ke Microsoft Azure Sentinel. Anda juga memverifikasi bahwa data sedang diserap dengan melihat data di ruang kerja.
- Untuk memvisualisasikan data yang telah Anda kumpulkan dengan menggunakan dasbor dan buku kerja, lihat Memvisualisasikan data yang dikumpulkan.
- Untuk mendeteksi ancaman dengan menggunakan aturan analitik, lihat Tutorial: Mendeteksi ancaman dengan menggunakan aturan analitik di Microsoft Azure Sentinel.