Microsoft Sentinel verbinden met andere Microsoft-services met behulp van verbindingen op basis van diagnostische instellingen

In dit artikel wordt beschreven hoe u verbinding maakt met Microsoft Sentinel met behulp van verbindingen met diagnostische instellingen. Microsoft Sentinel maakt gebruik van de Azure-basis om ingebouwde, service-naar-service-ondersteuning te bieden voor gegevensopname van veel Azure- en Microsoft 365-services, Amazon Web Services en verschillende Windows Server-services. Er zijn verschillende methoden waarmee deze verbindingen worden gemaakt.

Dit artikel bevat informatie die gebruikelijk is voor de groep gegevensconnectors die gebruikmaken van verbindingen op basis van diagnostische instellingen. Sommige van deze typen connectors worden beheerd met behulp van Azure Policy. Gebruik de zelfstandige instructies voor de andere connectors van dit type.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Vereisten

Als u gegevens wilt opnemen in Microsoft Sentinel met behulp van een zelfstandige, op diagnostische instellingen gebaseerde connector, moet u lees- en schrijfmachtigingen hebben voor de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel.

Als u gegevens wilt opnemen in Microsoft Sentinel met behulp van connectors op basis van diagnostische instellingen die worden beheerd door Azure Policy, moet u ook over de volgende vereisten beschikken:

• Als u Azure Policy wilt gebruiken om een beleid voor logboekstreaming toe te passen op uw resources, moet u de rol Eigenaar hebben voor het bereik van de beleidstoewijzing.

• De volgende vereisten, afhankelijk van de connector die u gebruikt:

  Gegevensconnector	Licentieverlening, kosten en andere informatie
  Azure-activiteit	Deze connector maakt nu gebruik van de pijplijn voor diagnostische instellingen. Als u de verouderde methode gebruikt, moet u de bestaande abonnementen loskoppelen van de verouderde methode voordat u de nieuwe Azure-activiteitenlogboekconnector instelt. 1. Selecteer gegevensconnectors in het navigatiemenu van Microsoft Sentinel. Selecteer Azure-activiteit in de lijst met connectors en selecteer vervolgens de paginaknop Connector openen in de rechterbenedenhoek. 2. Bekijk op het tabblad Instructies in de sectie Configuratie , in stap 1, de lijst met bestaande abonnementen die zijn verbonden met de verouderde methode en verbreek ze allemaal tegelijk door op de onderstaande knop Alles verbreken te klikken. 3. Ga door met het instellen van de nieuwe connector met de instructies in deze sectie.
  Azure DDoS-beveiliging	- Geconfigureerd Azure DDoS Standard-beveiligingsplan. - Geconfigureerd virtueel netwerk waarvoor Azure DDoS Standard is ingeschakeld - Andere kosten kunnen van toepassing zijn - De status voor De Azure DDoS Protection-gegevensconnector wordt alleen gewijzigd in Verbonden wanneer de beveiligde resources onder een DDoS-aanval vallen.
  Azure Storage-account	De opslagaccountresource (bovenliggende) bevat andere (onderliggende) resources voor elk type opslag: bestanden, tabellen, wachtrijen en blobs. Bij het configureren van diagnostische gegevens voor een opslagaccount moet u het volgende selecteren en configureren: - De bovenliggende accountresource, die de metrische transactiegegevens exporteert. - Elk van de onderliggende resources van het opslagtype, die alle logboeken en metrische gegevens exporteert. U ziet alleen de opslagtypen waarvoor u resources hebt gedefinieerd.

Verbinding maken via een zelfstandige connector voor diagnostische instellingen

In deze procedure wordt beschreven hoe u verbinding maakt met Microsoft Sentinel met behulp van gegevensconnectors die zelfstandige verbindingen gebruiken op basis van diagnostische instellingen.

1. Selecteer gegevensconnectors in het navigatiemenu van Microsoft Sentinel.

2. Selecteer uw resourcetype in de galerie met gegevensconnectors en selecteer vervolgens Connectorpagina openen in het voorbeeldvenster.

3. Selecteer in de sectie Configuratie van de connectorpagina de koppeling om de resourceconfiguratiepagina te openen.

   Als er een lijst met resources van het gewenste type wordt weergegeven, selecteert u de koppeling voor een resource waarvan u de logboeken wilt opnemen.

4. Selecteer diagnostische instellingen in het navigatiemenu van de resource.

5. Selecteer + Diagnostische instelling toevoegen onder aan de lijst.

6. Voer in het scherm Diagnostische instellingen een naam in het veld Naam van diagnostische instellingen in.

   Schakel het selectievakje Verzenden naar Log Analytics in. Er worden twee nieuwe velden onder weergegeven. Kies het relevante abonnement en de Log Analytics-werkruimte (waar Microsoft Sentinel zich bevindt).

7. Schakel de selectievakjes in van de typen logboeken en metrische gegevens die u wilt verzamelen. Bekijk onze aanbevolen opties voor elk resourcetype in de sectie voor de connector van de resource op de referentiepagina voor gegevensconnectors.

8. Selecteer Opslaan boven aan het scherm.

Zie ook Diagnostische instellingen maken voor het verzenden van Azure Monitor-platformlogboeken en metrische gegevens naar verschillende bestemmingen in de Documentatie van Azure Monitor voor meer informatie.

Verbinding maken via een connector op basis van diagnostische instellingen die wordt beheerd door Azure Policy

In deze procedure wordt beschreven hoe u verbinding maakt met Microsoft Sentinel met behulp van gegevensconnectors die gebruikmaken van verbindingen die zijn gebaseerd op diagnostische instellingen en worden beheerd door Azure Policy.

Connectors van dit type maken gebruik van Azure Policy om één configuratie van diagnostische instellingen toe te passen op een verzameling resources van één type, gedefinieerd als een bereik. U kunt de logboektypen zien die zijn opgenomen uit een bepaald resourcetype aan de linkerkant van de connectorpagina voor die resource, onder Gegevenstypen.

1. Selecteer gegevensconnectors in het navigatiemenu van Microsoft Sentinel.

2. Selecteer uw resourcetype in de galerie met gegevensconnectors en selecteer vervolgens Connectorpagina openen in het voorbeeldvenster.

3. Vouw in de sectie Configuratie van de connectorpagina alle uitbreidingen uit die u daar ziet en selecteer de knop Azure Policy-toewijzing starten.

   De wizard Beleidstoewijzing wordt geopend, klaar om een nieuw beleid te maken, met een vooraf ingevulde beleidsnaam.

   1. Selecteer op het tabblad Basisinformatie de knop met de drie puntjes onder Bereik om uw abonnement te kiezen (en eventueel een resourcegroep). U kunt ook een beschrijving toevoegen.

   2. Op het tabblad Parameters:

      • Schakel het selectievakje Alleen parameters weergeven waarvoor invoer is vereist uit.
      • Als u de velden Effect- en Instellingsnaam ziet, laat u deze ongewijzigd.
      • Kies uw Microsoft Sentinel-werkruimte in de vervolgkeuzelijst log analytics-werkruimte .
      • De resterende vervolgkeuzelijsten vertegenwoordigen de beschikbare typen diagnostische logboeken. Laat alle logboektypen die u wilt opnemen, gemarkeerd als Waar .

   3. Het beleid wordt toegepast op resources die in de toekomst worden toegevoegd. Als u het beleid ook op uw bestaande resources wilt toepassen, schakelt u het tabblad Herstel in en markeert u het selectievakje Een hersteltaak maken.

   4. Klik op het tabblad Controleren + Maken op Maken. Uw beleid is nu toegewezen aan het bereik dat u hebt gekozen.

Met dit type gegevensconnector worden de verbindingsstatusindicatoren (een kleurstreep in de galerie met gegevensconnectors en verbindingspictogrammen naast de namen van het gegevenstype) alleen weergegeven als verbonden (groen) als gegevens op een bepaald moment in de afgelopen 14 dagen zijn opgenomen. Zodra 14 dagen zijn verstreken zonder gegevensopname, wordt de verbinding met de connector weergegeven als verbroken. Het moment dat er meer gegevens worden weergegeven, wordt de verbonden status geretourneerd.

U kunt de gegevens voor elk resourcetype zoeken en er query's op uitvoeren met behulp van de tabelnaam die wordt weergegeven in de sectie voor de connector van de resource op de referentiepagina voor gegevensconnectors. Zie Diagnostische instellingen maken om Azure Monitor-platformlogboeken en metrische gegevens te verzenden naar verschillende bestemmingen in de Documentatie van Azure Monitor voor meer informatie.

Gerelateerde inhoud

Zie voor meer informatie:

• Catalogus met Microsoft Sentinel-oplossingen
• Integratie van bedreigingsinformatie in Microsoft Sentinel