Menyambungkan Microsoft Azure Sentinel ke layanan Microsoft lainnya dengan menggunakan koneksi berbasis pengaturan diagnostik

  • Artikel

Artikel ini menjelaskan cara menyambungkan ke Microsoft Azure Sentinel dengan menggunakan koneksi pengaturan diagnostik. Microsoft Azure Sentinel menggunakan dasar Azure untuk menyediakan dukungan layanan-ke-layanan bawaan untuk penyerapan data dari banyak layanan Azure dan Microsoft 365, Amazon Web Services, dan berbagai layanan Windows Server. Ada beberapa metode berbeda di mana koneksi ini dibuat.

Artikel ini menyajikan informasi yang umum untuk grup konektor data yang menggunakan koneksi berbasis pengaturan diagnostik. Beberapa jenis konektor ini dikelola dengan menggunakan Azure Policy. Untuk konektor lain dari jenis ini, gunakan instruksi mandiri.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Konektor berbasis pengaturan diagnostik mandiri

Bagian ini mencakup prasyarat dan instruksi penginstalan umum untuk grup konektor data yang menggunakan koneksi berbasis pengaturan diagnostik mandiri.

Prasyarat

Untuk menyerap data ke Microsoft Azure Sentinel:

  • Anda harus memiliki izin baca dan tulis di ruang kerja Microsoft Azure Sentinel.

Petunjuk

  1. Dari menu navigasi Microsoft Azure Sentinel, pilih Konektor data.

  2. Pilih jenis sumber daya Anda dari galeri konektor data, lalu pilih Buka Halaman Konektor di panel pratinjau.

  3. Di bagian Konfigurasi halaman konektor, pilih tautan untuk membuka halaman konfigurasi sumber daya.

    Jika disajikan dengan daftar sumber daya dari jenis yang diinginkan, pilih tautan untuk sumber daya yang lognya ingin Anda masukkan.

  4. Dari menu navigasi sumber daya, pilih Pengaturan diagnostik.

  5. Pilih + Tambahkan pengaturan diagnostik di bagian bawah daftar.

  6. Di layar Pengaturan diagnostik, masukkan nama di bidang Nama pengaturan diagnostik.

    Tandai kotak centang Kirim ke Analitik Log. Akan ada dua bidang baru yang ditampilkan di bawahnya. Pilih Langganan dan Ruang Kerja Analitik Log yang relevan (tempat Microsoft Azure Sentinel berada).

  7. Tandai kotak centang jenis log dan metrik yang ingin Anda kumpulkan. Lihat pilihan yang kami rekomendasikan untuk setiap jenis sumber daya di bagian untuk konektor sumber daya di halaman Referensi konektor data.

  8. Pilih Simpan di bagian atas layar.

Untuk informasi selengkapnya, lihat juga Membuat pengaturan diagnostik untuk mengirim log dan metrik platform Azure Monitor ke berbagai tujuan dalam dokumentasi Azure Monitor.

Azure Policy konektor berbasis pengaturan diagnostik terkelola

Bagian ini mencakup prasyarat dan instruksi penginstalan umum untuk grup konektor data yang menggunakan koneksi berbasis pengaturan diagnostik terkelola Azure Policy.

Prasyarat

Untuk menyerap data ke Microsoft Azure Sentinel:

  • Anda harus memiliki izin baca dan tulis di ruang kerja Microsoft Azure Sentinel.

  • Untuk menggunakan Azure Policy dalam menerapkan kebijakan streaming log ke sumber daya Anda, Anda harus memiliki peran Pemilik untuk cakupan penetapan kebijakan.

  • Persyaratan khusus konektor data:

    konektor data Lisensi, biaya, dan informasi lainnya
    Azure Activity Konektor ini sekarang menggunakan alur pengaturan diagnostik. Jika Anda menggunakan metode warisan, Anda harus memutuskan sambungan langganan yang ada dari metode warisan sebelum menyiapkan konektor log Aktivitas Azure baru.

    1. Dari menu navigasi Microsoft Azure Sentinel, pilih Konektor data. Dari daftar konektor, pilih Aktivitas Azure, lalu pilih tombol Buka halaman konektor di kanan bawah.
    2. Di bawah tab Instruksi , di bagian Konfigurasi , di langkah 1, tinjau daftar langganan Anda yang sudah ada yang tersambung ke metode warisan, dan putuskan semuanya sekaligus dengan mengklik tombol Putuskan Semua di bawah ini.
    3. Lanjutkan menyiapkan konektor baru dengan instruksi di bagian ini.
    Azure DDoS Protection - Paket perlindungan Azure DDoS Standard yang dikonfigurasi.
    - Jaringan virtual yang dikonfigurasi dengan Azure DDoS Standard diaktifkan
    - Biaya lain mungkin berlaku
    - Status untuk Konektor Data Azure DDoS Protection berubah menjadi Tersambung hanya ketika sumber daya yang dilindungi berada di bawah serangan DDoS.
    Akun Azure Storage Sumber daya akun penyimpanan (induk) memiliki sumber daya lain (turunan) untuk setiap jenis penyimpanan: file, tabel, antrean, dan blob.
    Saat mengonfigurasi diagnostik untuk akun penyimpanan, Anda harus memilih dan mengonfigurasi:

    - Sumber daya akun induk, mengekspor metrik Transaksi .
    - Masing-masing sumber daya jenis penyimpanan anak, mengekspor semua log dan metrik.

    Anda hanya akan melihat jenis penyimpanan yang benar-benar telah didefinisikan sumber dayanya.

Petunjuk

Konektor jenis ini menggunakan Azure Policy untuk menerapkan konfigurasi pengaturan diagnostik tunggal ke kumpulan sumber daya dari satu jenis, yang ditetapkan sebagai cakupan. Anda dapat melihat jenis log yang diserap dari jenis sumber daya tertentu di sisi kiri halaman konektor untuk sumber daya tersebut, di bawah Jenis data.

  1. Dari menu navigasi Microsoft Azure Sentinel, pilih Konektor data.

  2. Pilih jenis sumber daya Anda dari galeri konektor data, lalu pilih Buka Halaman Konektor di panel pratinjau.

  3. Di bagian Konfigurasi halaman konektor, perluas setiap ekspander yang Anda lihat di sana dan pilih tombol Luncurkan wizard Azure Policy Assignment.

    Wizard penugasan kebijakan terbuka, siap untuk membuat kebijakan baru dengan nama kebijakan pra-populasi.

    1. Di tab Dasar, pilih tombol dengan tiga titik di bagian Cakupan untuk memilih langganan Anda (dan grup sumber daya secara opsional). Anda juga dapat menambahkan deskripsi.

    2. Di tab Parameter:

      • Bersihkan kotak centang Hanya tampilkan parameter yang memerlukan input.
      • Jika Anda melihat bidang Efek dan Nama pengaturan, biarkan apa adanya.
      • Pilih ruang kerja Microsoft Azure Sentinel Anda dari daftar drop-down ruang kerja Analitik Log.
      • Bidang tarik turun yang tersisa mewakili jenis log diagnostik yang tersedia. Biarkan semua jenis log yang ingin Anda proses ditandai sebagai "True".

    3. Kebijakan tersebut akan diterapkan pada sumber daya yang ditambahkan di masa mendatang. Untuk menerapkan kebijakan pada sumber daya yang ada, pilih tab Remediasi lalu tandai kotak centang Buat tugas remediasi.

    4. Di tab Tinjau + buat, klik Buat. Kebijakan Anda sekarang ditetapkan ke cakupan yang Anda pilih.

Dengan tipe konektor data ini, indikator status konektivitas (garis warna di galeri konektor data dan ikon koneksi di sebelah nama jenis data) akan ditampilkan sebagai tersambung (hijau) hanya jika data telah diserap di beberapa titik dalam 14 hari terakhir. Setelah 14 hari berlalu tanpa pemrosesan data, konektor akan ditampilkan sebagai terputus. Saat lebih banyak data masuk, status akan kembali tersambung.

Anda dapat menemukan dan menanyakan data untuk setiap jenis sumber daya yang menggunakan nama tabel yang muncul di bagian konektor sumber daya di halaman Referensi konektor data. Untuk informasi selengkapnya, lihat Membuat pengaturan diagnostik untuk mengirim log dan metrik platform Azure Monitor ke berbagai tujuan dalam dokumentasi Azure Monitor.

Langkah berikutnya

Untuk informasi selengkapnya, lihat: