Microsoft Sentinel verbinden met andere Microsoft-services met behulp van verbindingen op basis van diagnostische instellingen
In dit artikel wordt beschreven hoe u verbinding maakt met Microsoft Sentinel met behulp van verbindingen met diagnostische instellingen. Microsoft Sentinel maakt gebruik van de Azure-basis om ingebouwde, service-naar-service-ondersteuning te bieden voor gegevensopname van veel Azure- en Microsoft 365-services, Amazon Web Services en verschillende Windows Server-services. Er zijn een aantal verschillende methoden waarmee deze verbindingen tot stand worden gebracht.
Dit artikel bevat informatie die gemeenschappelijk is voor de groep gegevensconnectors die gebruikmaken van verbindingen op basis van diagnostische instellingen. Sommige van deze typen connectors worden beheerd met behulp van Azure Policy. Gebruik de zelfstandige instructies voor de andere connectors van dit type.
Notitie
Zie de Microsoft Sentinel-tabellen in Beschikbaarheid van Cloudfuncties voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid.
Connectors op basis van zelfstandige diagnostische instellingen
In deze sectie worden de vereisten en algemene installatie-instructies behandeld voor de groep gegevensconnectors die gebruikmaken van zelfstandige verbindingen op basis van diagnostische instellingen.
Vereisten
Gegevens opnemen in Microsoft Sentinel:
- U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.
Instructies
Selecteer gegevensconnectors in het navigatiemenu van Microsoft Sentinel.
Selecteer uw resourcetype in de galerie met gegevensconnectors en selecteer vervolgens Connectorpagina openen in het voorbeeldvenster.
Selecteer in de sectie Configuratie van de connectorpagina de koppeling om de resourceconfiguratiepagina te openen.
Als u een lijst met resources van het gewenste type ziet, selecteert u de koppeling voor een resource waarvan u de logboeken wilt opnemen.
Selecteer diagnostische instellingen in het navigatiemenu van de resource.
Selecteer + Diagnostische instelling toevoegen onderaan de lijst.
Voer in het scherm Diagnostische instellingen een naam in het veld Naam van diagnostische instellingen in.
Schakel het selectievakje Verzenden naar Log Analytics in. Eronder worden twee nieuwe velden weergegeven. Kies het relevante abonnement en de Log Analytics-werkruimte (waar Microsoft Sentinel zich bevindt).
Schakel de selectievakjes in van de typen logboeken en metrische gegevens die u wilt verzamelen. Zie de aanbevolen opties voor elk resourcetype in de sectie voor de resourceconnector op de naslagpagina Gegevensconnectors .
Selecteer Opslaan bovenaan het scherm.
Zie ook Diagnostische instellingen maken om logboeken en metrische gegevens van het Azure Monitor-platform te verzenden naar verschillende bestemmingen in de Documentatie van Azure Monitor voor meer informatie.
connectors op basis van beheerde diagnostische instellingen Azure Policy
In deze sectie worden de vereisten en algemene installatie-instructies behandeld voor de groep gegevensconnectors die gebruikmaken van verbindingen op basis van Azure Policy beheerde diagnostische instellingen.
Vereisten
Gegevens opnemen in Microsoft Sentinel:
U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.
Als u Azure Policy wilt gebruiken om een beleid voor logboekstreaming toe te passen op uw resources, moet u de rol Eigenaar hebben voor het beleidstoewijzingsbereik.
Specifieke vereisten voor gegevensconnector:
Gegevensconnector Licentieverlening, kosten en andere informatie Azure-activiteit Deze connector maakt nu gebruik van de pijplijn voor diagnostische instellingen. Als u de verouderde methode gebruikt, moet u de bestaande abonnementen loskoppelen van de verouderde methode voordat u de nieuwe azure-connector voor activiteitenlogboeken instelt.
1. Selecteer gegevensconnectors in het navigatiemenu van Microsoft Sentinel. Selecteer Azure-activiteit in de lijst met connectors en selecteer rechtsonder de knop Connectorpagina openen .
2. Controleer op het tabblad Instructies in de sectie Configuratie in stap 1 de lijst met uw bestaande abonnementen die zijn verbonden met de verouderde methode en koppel ze allemaal tegelijk los door te klikken op de knop Verbinding verbreken hieronder.
3. Ga verder met het instellen van de nieuwe connector met de instructies in deze sectie.Azure DDoS Protection - Geconfigureerd Azure DDoS Standard-beveiligingsplan.
- Geconfigureerd virtueel netwerk met Azure DDoS Standard ingeschakeld
- Er kunnen andere kosten in rekening worden gebracht
- De status voor Azure DDoS Protection Data Connector wordt alleen gewijzigd in Verbonden wanneer de beveiligde resources worden aangevallen door een DDoS-aanval.Azure Storage-account De opslagaccountresource (bovenliggend) bevat andere (onderliggende) resources voor elk type opslag: bestanden, tabellen, wachtrijen en blobs.
Wanneer u diagnostische gegevens voor een opslagaccount configureert, moet u het volgende selecteren en configureren:
- De resource van het bovenliggende account, die de metrische gegevens transactie exporteert.
- Elk van de resources van het onderliggende opslagtype, die alle logboeken en metrische gegevens exporteert.
U ziet alleen de opslagtypen waarvoor u daadwerkelijk resources hebt gedefinieerd.
Instructies
Connectors van dit type gebruiken Azure Policy om één configuratie voor diagnostische instellingen toe te passen op een verzameling resources van één type, gedefinieerd als een bereik. U ziet de logboektypen die zijn opgenomen van een bepaald resourcetype aan de linkerkant van de connectorpagina voor die resource, onder Gegevenstypen.
Selecteer gegevensconnectors in het navigatiemenu van Microsoft Sentinel.
Selecteer uw resourcetype in de galerie met gegevensconnectors en selecteer vervolgens Connectorpagina openen in het voorbeeldvenster.
Vouw in de sectie Configuratie van de connectorpagina alle uitbreidingen uit die u daar ziet en selecteer de knop Wizard Azure Policy Toewijzing starten.
De wizard Beleidstoewijzing wordt geopend, klaar om een nieuw beleid te maken, met een vooraf ingevulde beleidsnaam.
Selecteer op het tabblad Basisinformatie de knop met de drie puntjes onder Bereik om uw abonnement te kiezen (en eventueel een resourcegroep). U kunt ook een beschrijving toevoegen.
Op het tabblad Parameters :
- Schakel het selectievakje Alleen parameters weergeven waarvoor invoer is vereist uit.
- Als u de velden Effect - en Instellingsnaam ziet, laat u deze staan.
- Kies uw Microsoft Sentinel-werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte .
- De resterende vervolgkeuzelijsten vertegenwoordigen de beschikbare typen diagnostische logboeken. Laat alle logboektypen die u wilt opnemen gemarkeerd als 'True'.
Het beleid wordt toegepast op resources die in de toekomst worden toegevoegd. Als u het beleid ook wilt toepassen op uw bestaande resources, selecteert u het tabblad Herstel en schakelt u het selectievakje Een hersteltaak maken in.
Klik op het tabblad Beoordelen en maken op Maken. Uw beleid is nu toegewezen aan het bereik dat u hebt gekozen.
Met dit type gegevensconnector worden de verbindingsstatusindicatoren (een kleurenstreep in de galerie met gegevensconnectors en verbindingspictogrammen naast de namen van gegevenstypen) alleen weergegeven als verbonden (groen) als gegevens op een bepaald moment in de afgelopen 14 dagen zijn opgenomen. Zodra er 14 dagen zijn verstreken zonder gegevensopname, wordt de verbinding van de connector weergegeven. Zodra er meer gegevens binnenkomen, wordt de verbonden status geretourneerd.
U kunt de gegevens voor elk resourcetype zoeken en er query's op uitvoeren met behulp van de tabelnaam die wordt weergegeven in de sectie voor de resourceconnector op de naslagpagina Gegevensconnectors . Zie Diagnostische instellingen maken om logboeken en metrische gegevens van het Azure Monitor-platform te verzenden naar verschillende bestemmingen in de Documentatie van Azure Monitor voor meer informatie.
Volgende stappen
Zie voor meer informatie: