Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come connettersi a Microsoft Sentinel usando le connessioni alle impostazioni di diagnostica. Microsoft Sentinel usa la base Azure per fornire supporto predefinito da servizio a servizio per l'inserimento di dati da molti servizi di Azure e Microsoft 365, Amazon Web Services e vari servizi di Windows Server. Esistono alcuni metodi diversi tramite i quali vengono effettuate queste connessioni.
Questo articolo presenta informazioni comuni al gruppo di connettori dati che usano connessioni basate su impostazioni di diagnostica. Alcuni di questi tipi di connettori vengono gestiti tramite Criteri di Azure. Per gli altri connettori di questo tipo, usare le istruzioni autonome.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud del governo degli Stati Uniti, vedere le tabelle Microsoft Sentinel in Disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.
Prerequisiti
Per inserire i dati in Microsoft Sentinel usando un connettore autonomo basato sulle impostazioni di diagnostica, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel.
Per inserire dati in Microsoft Sentinel usando connettori basati su impostazioni di diagnostica gestiti da Criteri di Azure, è necessario avere anche i prerequisiti seguenti:
Per usare Criteri di Azure per applicare un criterio di streaming dei log alle risorse, è necessario disporre del ruolo Proprietario per l'ambito di assegnazione dei criteri.
I prerequisiti seguenti, a seconda del connettore in uso:
Connettore dati Licenze, costi e altre informazioni Attività Azure Questo connettore usa ora la pipeline delle impostazioni di diagnostica. Se si usa il metodo legacy, è necessario disconnettere le sottoscrizioni esistenti dal metodo legacy prima di configurare il nuovo connettore del log attività Azure.
1. Dal menu di spostamento Microsoft Sentinel selezionare Connettori dati. Nell'elenco dei connettori selezionare Azure Attività e quindi selezionare il pulsante Apri pagina connettore in basso a destra.
2. Nel passaggio 1 della sezione Configurazione della scheda Istruzioni esaminare l'elenco delle sottoscrizioni esistenti connesse al metodo legacy e disconnetterle tutte contemporaneamente facendo clic sul pulsante Disconnetti tutto di seguito.
3. Continuare a configurare il nuovo connettore con le istruzioni in questa sezione.protezione DDoS Azure - Configurato Azure piano di protezione Standard DDoS.
- Rete virtuale configurata con Azure Standard DDoS abilitati
- Potrebbero essere applicati altri addebiti
- Lo stato per Azure DDoS Protection Data Connector viene modificato in Connesso solo quando le risorse protette sono sottoposte a un attacco DDoS.account di archiviazione Azure La risorsa dell'account di archiviazione (padre) include altre risorse (figlio) per ogni tipo di archiviazione: file, tabelle, code e BLOB.
Quando si configura la diagnostica per un account di archiviazione, è necessario selezionare e configurare:
- Risorsa dell'account padre, che esporta la metrica Transaction .
- Ognuna delle risorse di tipo di archiviazione figlio, esportando tutti i log e le metriche.
Verranno visualizzati solo i tipi di archiviazione per cui sono effettivamente disponibili risorse definite.
Connettersi tramite un connettore autonomo basato sulle impostazioni di diagnostica
Questa procedura descrive come connettersi a Microsoft Sentinel usando connettori dati che usano connessioni autonome in base alle impostazioni di diagnostica.
Dal menu di spostamento Microsoft Sentinel selezionare Connettori dati.
Selezionare il tipo di risorsa dalla raccolta di connettori dati e quindi selezionare Apri pagina connettore nel riquadro di anteprima.
Nella sezione Configurazione della pagina del connettore selezionare il collegamento per aprire la pagina di configurazione della risorsa.
Se viene visualizzato un elenco di risorse del tipo desiderato, selezionare il collegamento per una risorsa di cui si vuole inserire i log.
Dal menu di spostamento delle risorse selezionare Impostazioni di diagnostica.
Selezionare + Aggiungi impostazione di diagnostica nella parte inferiore dell'elenco.
Nella schermata Impostazioni di diagnostica immettere un nome nel campo Nome impostazioni di diagnostica .
Contrassegnare la casella di controllo Invia a Log Analytics . Sotto di esso vengono visualizzati due nuovi campi. Scegliere la sottoscrizione pertinente e l'area di lavoro Log Analytics (dove si trova Microsoft Sentinel).
Contrassegnare le caselle di controllo dei tipi di log e delle metriche che si desidera raccogliere. Vedere le opzioni consigliate per ogni tipo di risorsa nella sezione relativa al connettore della risorsa nella pagina di riferimento Connettori dati .
Selezionare Salva nella parte superiore della schermata.
Per altre informazioni, vedere anche Creare impostazioni di diagnostica per inviare metriche e log della piattaforma di monitoraggio Azure a destinazioni diverse nella documentazione di Monitoraggio Azure.
Connettersi tramite un connettore basato su impostazioni di diagnostica gestito da Criteri di Azure
Questa procedura descrive come connettersi a Microsoft Sentinel usando connettori dati che usano connessioni basate su impostazioni di diagnostica e gestite da Criteri di Azure.
I connettori di questo tipo usano Criteri di Azure per applicare una singola configurazione delle impostazioni di diagnostica a una raccolta di risorse di un singolo tipo, definite come ambito. È possibile visualizzare i tipi di log inseriti da un determinato tipo di risorsa sul lato sinistro della pagina del connettore per tale risorsa, in Tipi di dati.
Dal menu di spostamento Microsoft Sentinel selezionare Connettori dati.
Selezionare il tipo di risorsa dalla raccolta di connettori dati e quindi selezionare Apri pagina connettore nel riquadro di anteprima.
Nella sezione Configurazione della pagina del connettore espandere gli espansori visualizzati e selezionare il pulsante Avvia Criteri di Azure assegnazione guidata.
Verrà visualizzata la procedura guidata di assegnazione dei criteri, pronta per creare un nuovo criterio, con un nome di criterio prepopolato.
Nella scheda Informazioni di base selezionare il pulsante con i tre puntini in Ambito per scegliere la sottoscrizione e, facoltativamente, un gruppo di risorse. È anche possibile aggiungere una descrizione.
Nella scheda Parametri :
- Deselezionare la casella di controllo Mostra solo parametri che richiedono input .
- Se vengono visualizzati i campi Effetto e Nome impostazione , lasciarli così come sono.
- Scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics.
- I campi a discesa rimanenti rappresentano i tipi di log di diagnostica disponibili. Lasciare contrassegnato come True tutti i tipi di log da inserire.
I criteri verranno applicati alle risorse aggiunte in futuro. Per applicare i criteri anche alle risorse esistenti, selezionare la scheda Correzione e contrassegnare la casella di controllo Crea un'attività di correzione .
Nella scheda Rivedi e crea fare clic su Crea. I criteri vengono ora assegnati all'ambito scelto.
Con questo tipo di connettore dati, gli indicatori di stato della connettività (una striscia di colore nella raccolta dei connettori dati e le icone di connessione accanto ai nomi dei tipi di dati) vengono visualizzati come connessi (verde) solo se i dati sono stati inseriti in un determinato momento negli ultimi 14 giorni. Dopo 14 giorni senza inserimento di dati, il connettore viene visualizzato come disconnesso. Nel momento in cui arrivano più dati, lo stato connesso torna.
È possibile trovare ed eseguire query sui dati per ogni tipo di risorsa usando il nome della tabella visualizzato nella sezione relativa al connettore della risorsa nella pagina di riferimento Connettori dati . Per altre informazioni, vedere Creare impostazioni di diagnostica per inviare metriche e log della piattaforma di monitoraggio Azure a destinazioni diverse nella documentazione di Monitoraggio Azure.
Contenuto correlato
Per altre informazioni, vedere: