Connettere Microsoft Sentinel ad altri servizi Microsoft tramite connessioni basate sulle impostazioni di diagnostica
Questo articolo descrive come connettersi a Microsoft Sentinel usando le connessioni delle impostazioni di diagnostica. Microsoft Sentinel usa le basi di Azure per fornire supporto predefinito da servizio a servizio per l'inserimento di dati da molti servizi di Azure e Microsoft 365, Amazon Web Services e vari servizi di Windows Server. Esistono alcuni metodi diversi tramite i quali vengono effettuate queste connessioni.
Questo articolo presenta informazioni comuni al gruppo di connettori dati che usano connessioni basate sulle impostazioni di diagnostica. Alcuni di questi tipi di connettori vengono gestiti tramite Criteri di Azure. Per gli altri connettori di questo tipo, usare le istruzioni autonome.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud us government, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.
Connettori autonomi basati sulle impostazioni di diagnostica
Questa sezione illustra i prerequisiti e le istruzioni di installazione generali per il gruppo di connettori dati che usano connessioni autonome basate sulle impostazioni di diagnostica.
Prerequisiti
Per inserire dati in Microsoft Sentinel:
- È necessario disporre delle autorizzazioni di lettura e scrittura nell'area di lavoro Microsoft Sentinel.
Istruzioni
Nel menu di spostamento di Microsoft Sentinel selezionare Connettori dati.
Selezionare il tipo di risorsa dalla raccolta di connettori dati e quindi selezionare Apri pagina connettore nel riquadro di anteprima.
Nella sezione Configurazione della pagina connettore selezionare il collegamento per aprire la pagina di configurazione della risorsa.
Se viene visualizzato un elenco di risorse del tipo desiderato, selezionare il collegamento per una risorsa di cui inserire i log.
Dal menu di spostamento delle risorse selezionare Impostazioni di diagnostica.
Selezionare + Aggiungi impostazione di diagnostica nella parte inferiore dell'elenco.
Nella schermata Impostazioni di diagnostica immettere un nome nel campo Nome impostazioni di diagnostica .
Contrassegnare la casella di controllo Invia a Log Analytics . Di seguito verranno visualizzati due nuovi campi. Scegliere la sottoscrizione e l'area di lavoro Log Analytics pertinenti (in cui risiede Microsoft Sentinel).
Contrassegnare le caselle di controllo dei tipi di log e metriche da raccogliere. Vedere le scelte consigliate per ogni tipo di risorsa nella sezione relativa al connettore della risorsa nella pagina di riferimento connettori dati .
Selezionare Salva nella parte superiore della schermata.
Per altre informazioni, vedere anche Creare impostazioni di diagnostica per inviare i log e le metriche della piattaforma di Monitoraggio di Azure a destinazioni diverse nella documentazione di Monitoraggio di Azure.
Criteri di Azure connettori basati sulle impostazioni di diagnostica gestite
Questa sezione illustra i prerequisiti e le istruzioni di installazione generali per il gruppo di connettori dati che usano Criteri di Azure connessioni basate sulle impostazioni di diagnostica gestite.
Prerequisiti
Per inserire dati in Microsoft Sentinel:
È necessario disporre delle autorizzazioni di lettura e scrittura nell'area di lavoro Microsoft Sentinel.
Per usare Criteri di Azure per applicare criteri di streaming dei log alle risorse, è necessario avere il ruolo Proprietario per l'ambito di assegnazione dei criteri.
Requisiti specifici del connettore dati:
Connettore dati Licenze, costi e altre informazioni Attività di Azure Questo connettore ora usa la pipeline delle impostazioni di diagnostica. Se si usa il metodo legacy, è necessario disconnettere le sottoscrizioni esistenti dal metodo legacy prima di configurare il nuovo connettore del log attività di Azure.
1. Dal menu di spostamento di Microsoft Sentinel selezionare Connettori dati. Nell'elenco dei connettori selezionare Attività di Azure e quindi selezionare il pulsante Apri connettore in basso a destra.
2. Nella scheda Istruzioni , nella sezione Configurazione , nel passaggio 1 esaminare l'elenco delle sottoscrizioni esistenti connesse al metodo legacy e disconnetterle tutte contemporaneamente facendo clic sul pulsante Disconnetti tutto sotto.
3. Continuare a configurare il nuovo connettore con le istruzioni in questa sezione.Protezione DDoS di Azure - Piano di protezione DDoS Standard configurato.
- Rete virtuale configurata con Azure DDoS Standard abilitato
- Altri addebiti possono essere applicati
- Lo stato del connettore dati di protezione DDoS di Azure cambia in Connesso solo quando le risorse protette sono sotto un attacco DDoS.Account di archiviazione di Azure La risorsa dell'account di archiviazione (padre) contiene altre risorse (figlio) per ogni tipo di archiviazione: file, tabelle, code e BLOB.Quando si configura la diagnostica per un account di archiviazione, è necessario selezionare e configurare:
- Risorsa dell'account padre, esportazione della metrica Transazione .
- Ognuna delle risorse di tipo di archiviazione figlio, esportando tutti i log e le metriche.
Verranno visualizzati solo i tipi di archiviazione per cui sono state effettivamente definite le risorse.
Istruzioni
I connettori di questo tipo usano Criteri di Azure per applicare una singola configurazione delle impostazioni di diagnostica a una raccolta di risorse di un singolo tipo, definita come ambito. È possibile visualizzare i tipi di log inseriti da un determinato tipo di risorsa sul lato sinistro della pagina del connettore per tale risorsa, in Tipi di dati.
Nel menu di spostamento di Microsoft Sentinel selezionare Connettori dati.
Selezionare il tipo di risorsa dalla raccolta di connettori dati e quindi selezionare Apri pagina connettore nel riquadro di anteprima.
Nella sezione Configurazione della pagina connettore espandere eventuali espansori visualizzati e selezionare il pulsante Avvia Criteri di Azure assegnazione guidata.
Verrà aperta la procedura guidata di assegnazione dei criteri, pronta per creare un nuovo criterio, con un nome di criterio prepopolato.
Nella scheda Informazioni di base selezionare il pulsante con i tre puntini in Ambito per scegliere la sottoscrizione (e, facoltativamente, un gruppo di risorse). È anche possibile aggiungere una descrizione.
Nella scheda Parametri :
- Deselezionare la casella di controllo Mostra solo i parametri che richiedono l'input .
- Se i campi Effect e Setting name sono visualizzati, lasciarli invariati.
- Scegliere l'area di lavoro di Microsoft Sentinel dall'elenco a discesa Area di lavoro Log Analytics .
- I campi a discesa rimanenti rappresentano i tipi di log di diagnostica disponibili. Lasciare contrassegnati come "True" tutti i tipi di log da inserire.
I criteri verranno applicati alle risorse aggiunte in futuro. Per applicare anche i criteri alle risorse esistenti, selezionare la scheda Correzione e contrassegnare la casella di controllo Crea un'attività di correzione .
Nella scheda Rivedi e crea fare clic su Crea. Il criterio viene ora assegnato all'ambito scelto.
Con questo tipo di connettore dati, gli indicatori di stato di connettività (una striscia di colori nella raccolta dei connettori dati e le icone di connessione accanto ai nomi dei tipi di dati) verranno visualizzati come connessi (verde) solo se i dati sono stati inseriti in un determinato punto negli ultimi 14 giorni. Una volta trascorsi 14 giorni senza inserimento dati, il connettore verrà visualizzato come disconnesso. Il momento in cui arrivano più dati, lo stato connesso restituirà.
È possibile trovare ed eseguire query sui dati per ogni tipo di risorsa usando il nome della tabella visualizzato nella sezione relativa al connettore della risorsa nella pagina di riferimento Connettori dati . Per altre informazioni, vedere Creare impostazioni di diagnostica per inviare i log e le metriche della piattaforma di Monitoraggio di Azure a destinazioni diverse nella documentazione di Monitoraggio di Azure.
Passaggi successivi
Per altre informazioni, vedere:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per