Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questa guida introduttiva si abiliterà Microsoft Sentinel e si installerà una soluzione dall'hub del contenuto. Si configurerà quindi un connettore dati per avviare l'inserimento dei dati in Microsoft Sentinel.
Microsoft Sentinel include molti connettori dati per prodotti Microsoft, ad esempio il connettore da servizio a servizio Microsoft Defender XDR. È anche possibile abilitare i connettori predefiniti per prodotti non Microsoft, ad esempio Syslog o Common Event Format (CEF). Per questa guida introduttiva si userà il connettore dati attività Azure disponibile nella soluzione Attività Azure per Microsoft Sentinel.
Per eseguire l'onboarding in Microsoft Sentinel usando l'API, vedere la versione più recente supportata di Sentinel Stati di onboarding.
Prerequisiti
Sottoscrizione Azure attiva. Se non ne hai uno, crea un account gratuito prima di iniziare.
Autorizzazioni:
Per abilitare Microsoft Sentinel, sono necessarie autorizzazioni di collaboratore per la sottoscrizione in cui risiede l'area di lavoro Microsoft Sentinel.
Per usare Microsoft Sentinel, è necessario Microsoft Sentinel autorizzazioni Collaboratore o Lettore Microsoft Sentinel per il gruppo di risorse a cui appartiene l'area di lavoro.
Per installare o gestire soluzioni nell'hub del contenuto, è necessario il ruolo collaboratore Microsoft Sentinel nel gruppo di risorse a cui appartiene l'area di lavoro.
Se si è un nuovo cliente Microsoft Sentinel e si dispone delle autorizzazioni di proprietario di una sottoscrizione odi un amministratore dell'accesso utente, l'area di lavoro viene automaticamente onboarding nel portale di Defender. Gli utenti di tali aree di lavoro usano Microsoft Sentinel solo nel portale di Defender.
Microsoft Sentinel è un servizio a pagamento. Esaminare le opzioni di prezzo e la pagina dei prezzi Microsoft Sentinel.
Prima di distribuire Microsoft Sentinel in un ambiente di produzione, esaminare le attività di pre-distribuzione e i prerequisiti per la distribuzione di Microsoft Sentinel.
Creare un'area di lavoro Log Analytics
Microsoft Sentinel deve essere aggiunto a un'area di lavoro. Se si dispone già di un'area di lavoro Log Analytics, passare all'aggiunta di Microsoft Sentinel all'area di lavoro Log Analytics. Se non si dispone già di un'area di lavoro Log Analytics, è possibile crearne una usando le istruzioni seguenti oppure, per una spiegazione più dettagliata, passare a Creare un'area di lavoro Log Analytics. Per altre informazioni sulle aree di lavoro di Log Analytics, vedere Progettazione della distribuzione dei log di monitoraggio Azure.
Nell'area di lavoro Log Analytics usata per Microsoft Sentinel potrebbe essere disponibile un periodo di conservazione predefinito di 30 giorni. Per assicurarsi di poter usare tutte le funzionalità e le funzionalità Microsoft Sentinel, aumentare la conservazione a 90 giorni. Configurare i criteri di conservazione e archiviazione dei dati nei log di monitoraggio Azure.
Accedere al portale di Azure.
Cercare e selezionare Microsoft Sentinel.
Selezionare Crea.
Selezionare Crea una nuova area di lavoro.
InGruppo di risorsesottoscrizione> selezionare Crea nuovo. Immettere un nome per il gruppo di risorse e selezionare OK.
Assegnare un nome all'area di lavoro e selezionare un'area, quindi selezionare Rivedi e crea. Vedere in quali aree è disponibile Log Analytics.
Dopo aver superato la convalida, selezionare Crea. Attendere il completamento della distribuzione.
Aggiungere Microsoft Sentinel all'area di lavoro Log Analytics
Nel portale di Azure cercare e selezionare Microsoft Sentinel.
Selezionare Crea.
Selezionare l'area di lavoro da usare e selezionare Aggiungi. È possibile eseguire Microsoft Sentinel in più aree di lavoro, ma i dati sono isolati in una singola area di lavoro.
- Le aree di lavoro predefinite create da Microsoft Defender per Cloud non vengono visualizzate nell'elenco. Non è possibile installare Microsoft Sentinel in queste aree di lavoro.
- Una volta distribuita in un'area di lavoro, Microsoft Sentinel non supporta lo spostamento di tale area di lavoro in un altro gruppo di risorse o sottoscrizione.
Nota
Se l'area di lavoro non viene caricata automaticamente nel portale di Defender, è consigliabile eseguire l'onboarding per un'esperienza unificata nella gestione delle operazioni di sicurezza (SecOps) sia in Microsoft Sentinel che in altri servizi di sicurezza Microsoft. Per altre informazioni, vedere Eseguire l'onboarding di Microsoft Sentinel nel portale di Defender.
Se l'area di lavoro viene caricata automaticamente o si decide di eseguire l'onboarding dell'area di lavoro, è possibile continuare le procedure in questo articolo dal portale di Defender. Se questa è la prima volta che si usa il portale di Defender, si verifica un ritardo di alcuni minuti durante il completamento del processo.
Accedere Microsoft Sentinel nel portale di Defender
Per accedere Microsoft Sentinel nel portale di Defender:
Accedere al portale di Defender.
La prima volta che si accede al portale di Defender, il provisioning del tenant richiederà del tempo.
Una volta effettuato il provisioning, verrà visualizzato Microsoft Sentinel disponibile nel riquadro di spostamento, con Microsoft Sentinel nodi annidati all'interno. Ad esempio:
Scorrere verso il basso nel riquadro di spostamento e selezionare Impostazioni > Microsoft Sentinel > Aree di lavoro per visualizzare le aree di lavoro di cui è stato eseguito l'onboarding nel portale di Defender e disponibili per l'utente.
Il portale di Defender supporta più aree di lavoro, con un'area di lavoro che funge da area di lavoro primaria per ogni tenant. Per altre informazioni, vedere Più aree di lavoro Microsoft Sentinel nel portale di Defender e Microsoft Defender gestione multi-tenant.
Installare una soluzione dall'hub del contenuto
L'hub contenuto in Microsoft Sentinel è la posizione centralizzata in cui individuare e gestire contenuti predefiniti, inclusi i connettori dati. Per questa guida introduttiva, installare la soluzione per l'attività Azure.
In Microsoft Sentinel passare alla pagina Hub del contenuto e individuare e selezionare la soluzione Attività Azure.
Nel riquadro dei dettagli della soluzione sul lato selezionare Installa.
Configurare il connettore dati
Microsoft Sentinel inserisce i dati da servizi e app connettendosi al servizio e inoltrando gli eventi e i log a Microsoft Sentinel. Per questa guida introduttiva, installare il connettore dati per inoltrare i dati per Azure'attività a Microsoft Sentinel.
In Microsoft Sentinel selezionareConnettori dati di configurazione> e cercare e selezionare il connettore dati attività Azure.
Nel riquadro dei dettagli del connettore selezionare Apri pagina connettore. Usare le istruzioni nella pagina Azure Activity Connector per configurare il connettore dati.
Selezionare Avvia Criteri di Azure Assegnazione guidata.
Nella scheda Informazioni di base impostare l'ambito sulla sottoscrizione e sul gruppo di risorse con attività da inviare a Microsoft Sentinel. Ad esempio, selezionare la sottoscrizione che contiene l'istanza di Microsoft Sentinel.
Selezionare la scheda Parametri e impostare l'area di lavoro Log Analytics primaria. Questa deve essere l'area di lavoro in cui è installato Microsoft Sentinel.
Selezionare Rivedi e crea e crea.
Generare dati attività
Generare alcuni dati sulle attività abilitando una regola inclusa nella soluzione Attività di Azure per Microsoft Sentinel. Questo passaggio illustra anche come gestire il contenuto nell'hub del contenuto.
In Microsoft Sentinel selezionare Hub contenuto e cercare e selezionare Modello di regola di distribuzione di risorse sospette nella soluzione Attività Azure.
Nel riquadro dei dettagli selezionare Crea regola per creare una nuova regola usando la procedura guidata della regola di Analisi.
Nella pagina Creazione guidata regola di Analisi - Crea una nuova regola pianificata impostare Stato su Abilitato.
In questa scheda e in tutte le altre schede della procedura guidata lasciare i valori predefiniti così come sono.
Nella scheda Rivedi e crea selezionare Crea.
Visualizzare i dati inseriti in Microsoft Sentinel
Ora che è stato abilitato il connettore di dati attività Azure e sono stati generati alcuni dati attività, verranno visualizzati i dati dell'attività aggiunti all'area di lavoro.
In Microsoft Sentinel selezionareConnettori dati di configurazione> e cercare e selezionare il connettore dati attività Azure.
Nel riquadro dei dettagli del connettore selezionare Apri pagina connettore.
Esaminare lo stato del connettore dati. Deve essere Connesso.
Selezionare una scheda per continuare, a seconda del portale in uso:
Selezionare Vai a Log Analytics per aprire la pagina Ricerca avanzata .
Nella parte superiore del riquadro, accanto alla scheda Nuova query selezionare la + scheda per aggiungere una nuova query.
Eseguire la query seguente per visualizzare la data dell'attività inserita nell'area di lavoro:
AzureActivity
Ad esempio:
Passaggi successivi
In questa guida di avvio rapido è stata abilitata Microsoft Sentinel e installata una soluzione dall'hub del contenuto. Configurare quindi un connettore dati per avviare l'inserimento dei dati in Microsoft Sentinel. È stato anche verificato che i dati vengono inseriti visualizzando i dati nell'area di lavoro.
Se si è un nuovo cliente a cui è stato eseguito l'onboarding automatico nel portale di Defender, gli utenti accederanno solo a Microsoft Sentinel nel portale di Defender. Quando si usa la documentazione di Microsoft Sentinel, assicurarsi di selezionare la versione del portale di Defender della documentazione.
- Per visualizzare i dati raccolti usando i dashboard e le cartelle di lavoro, vedere Visualizzare i dati raccolti.
- Per rilevare le minacce usando le regole di analisi, vedere Esercitazione: Rilevare le minacce usando le regole di analisi in Microsoft Sentinel.