Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze quickstart schakelt u Microsoft Sentinel in en installeert u een oplossing vanuit de content hub. Vervolgens stelt u een gegevensconnector in om gegevens op te nemen in Microsoft Sentinel.
Microsoft Sentinel wordt geleverd met veel gegevensconnectors voor Microsoft-producten, zoals de Microsoft Defender XDR service-naar-service-connector. U kunt ook ingebouwde connectors inschakelen voor niet-Microsoft-producten, zoals Syslog of Cef (Common Event Format). Voor deze quickstart gebruikt u de Azure Activity-gegevensconnector die beschikbaar is in de oplossing Azure Activity voor Microsoft Sentinel.
Als u wilt onboarden naar Microsoft Sentinel met behulp van de API, raadpleegt u de meest recente ondersteunde versie van Sentinel Onboarding States.
Vereisten
Actief Azure-abonnement. Als u nog geen account hebt, maakt u een gratis account aan voordat u begint.
Machtigingen:
Als u Microsoft Sentinel wilt inschakelen, hebt u inzendermachtigingen nodig voor het abonnement waarin de Microsoft Sentinel werkruimte zich bevindt.
Als u Microsoft Sentinel wilt gebruiken, hebt u Microsoft Sentinel machtigingen inzender of Microsoft Sentinel lezer nodig voor de resourcegroep waartoe de werkruimte behoort.
Als u oplossingen in de inhoudshub wilt installeren of beheren, hebt u de rol Microsoft Sentinel Inzender nodig voor de resourcegroep waartoe de werkruimte behoort.
Als u een nieuwe Microsoft Sentinel klant bent en machtigingen hebt van een abonnementseigenaar of een beheerder van gebruikerstoegang, wordt uw werkruimte automatisch toegevoegd aan de Defender-portal. Gebruikers van dergelijke werkruimten gebruiken Microsoft Sentinel alleen in de Defender-portal.
Microsoft Sentinel is een betaalde service. Bekijk de prijsopties en de pagina Microsoft Sentinel prijzen.
Voordat u Microsoft Sentinel implementeert in een productieomgeving, controleert u de predeploymentactiviteiten en vereisten voor het implementeren van Microsoft Sentinel.
Een Log Analytics-werkruimte maken
Microsoft Sentinel moet worden toegevoegd aan een werkruimte. Als u al een Log Analytics-werkruimte hebt, gaat u verder met het toevoegen van Microsoft Sentinel aan uw Log Analytics-werkruimte. Als u nog geen Log Analytics-werkruimte hebt, kunt u er een maken met behulp van de onderstaande instructies of, voor een gedetailleerde uitleg, naar Een Log Analytics-werkruimte maken. Zie De implementatie van uw Azure Logboeken bewaken ontwerpen voor meer informatie over Log Analytics-werkruimten.
Mogelijk hebt u een standaardretentie van 30 dagen in de Log Analytics-werkruimte die wordt gebruikt voor Microsoft Sentinel. Om ervoor te zorgen dat u alle Microsoft Sentinel functionaliteit en functies kunt gebruiken, verhoogt u de retentie tot 90 dagen. Beleid voor gegevensretentie en archief configureren in Azure Logboeken bewaken.
Meld u aan bij Azure Portal.
Zoek en selecteer Microsoft Sentinel.
Selecteer Maken.
Selecteer Een nieuwe werkruimte maken.
Selecteer onderAbonnementsresourcegroep>de optie Nieuwe maken. Voer een naam in voor uw resourcegroep en selecteer OK.
Geef de werkruimte een naam, selecteer een regio en selecteer vervolgens Beoordelen en maken. (Bekijk in welke regio's Log Analytics beschikbaar is.)
Nadat de validatie is voltooid, selecteert u Maken. Wacht totdat uw implementatie is voltooid.
Microsoft Sentinel toevoegen aan uw Log Analytics-werkruimte
Zoek en selecteer Microsoft Sentinel in de Azure Portal.
Selecteer Maken.
Selecteer de werkruimte die u wilt gebruiken en selecteer Toevoegen. U kunt Microsoft Sentinel uitvoeren op meer dan één werkruimte, maar gegevens worden geïsoleerd in één werkruimte.
- De standaardwerkruimten die door Microsoft Defender voor Cloud zijn gemaakt, worden niet weergegeven in de lijst. U kunt Microsoft Sentinel niet installeren op deze werkruimten.
- Eenmaal geïmplementeerd in een werkruimte, biedt Microsoft Sentinel geen ondersteuning voor het verplaatsen van die werkruimte naar een andere resourcegroep of een ander abonnement.
Opmerking
Als uw werkruimte niet automatisch wordt toegevoegd aan de Defender-portal, raden we u aan om onboarding uit te voeren voor een uniforme ervaring bij het beheren van beveiligingsbewerkingen (SecOps) in zowel Microsoft Sentinel als andere Microsoft-beveiligingsservices. Zie Onboard Microsoft Sentinel naar de Defender-portal voor meer informatie.
Als uw werkruimte automatisch wordt onboarded of als u besluit uw werkruimte nu te onboarden, kunt u de procedures in dit artikel voortzetten vanuit de Defender-portal. Als dit de eerste keer is dat u de Defender-portal gebruikt, is er een vertraging van enkele minuten terwijl het proces is voltooid.
Toegang tot Microsoft Sentinel in de Defender-portal
Toegang krijgen tot Microsoft Sentinel in de Defender-portal:
Meld u aan bij de Defender-portal.
De eerste keer dat u de Defender-portal opent, duurt het enige tijd om uw tenant in te richten.
Zodra de inrichting is uitgevoerd, ziet u Microsoft Sentinel beschikbaar in het navigatiedeelvenster, met Microsoft Sentinel knooppunten die zijn genest. Bijvoorbeeld:
Schuif omlaag in het navigatiedeelvenster en selecteer Instellingen > Microsoft Sentinel > Werkruimten om de werkruimten weer te geven die zijn toegevoegd aan de Defender-portal en voor u beschikbaar zijn.
De Defender-portal ondersteunt meerdere werkruimten, waarbij één werkruimte fungeert als de primaire werkruimte per tenant. Zie Meerdere Microsoft Sentinel werkruimten in de Defender-portal en Microsoft Defender multitenantbeheer voor meer informatie.
Een oplossing installeren vanuit de inhoudshub
De inhoudshub in Microsoft Sentinel is de centrale locatie voor het detecteren en beheren van out-of-the-box inhoud, inclusief gegevensconnectors. Voor deze quickstart installeert u de oplossing voor Azure Activity.
Blader in Microsoft Sentinel naar de pagina Inhoudshub en zoek en selecteer de oplossing Azure Activiteit.
Selecteer installeren in het detailvenster van de oplossing aan de zijkant.
De gegevensconnector instellen
Microsoft Sentinel neemt gegevens op uit services en apps door verbinding te maken met de service en de gebeurtenissen en logboeken door te sturen naar Microsoft Sentinel. Voor deze quickstart installeert u de gegevensconnector om gegevens voor Azure Activiteit door te sturen naar Microsoft Sentinel.
Selecteer>configuratiegegevensconnectors in Microsoft Sentinel en zoek en selecteer de connector voor Azure activiteitsgegevens.
Selecteer in het detailvenster van de connector de optie Connectorpagina openen. Gebruik de instructies op de pagina Azure Activiteitsconnector om de gegevensconnector in te stellen.
Selecteer De wizard Toewijzing Azure Policy starten.
Stel op het tabblad Basis het bereik in op het abonnement en de resourcegroep met activiteit die naar Microsoft Sentinel moet worden verzonden. Selecteer bijvoorbeeld het abonnement dat uw Microsoft Sentinel-exemplaar bevat.
Selecteer het tabblad Parameters en stel de primaire Log Analytics-werkruimte in. Dit moet de werkruimte zijn waar Microsoft Sentinel is geïnstalleerd.
Selecteer Beoordelen + maken en Maken.
Activiteitsgegevens genereren
We gaan enkele activiteitsgegevens genereren door een regel in te schakelen die is opgenomen in de oplossing Azure Activiteit voor Microsoft Sentinel. In deze stap ziet u ook hoe u inhoud beheert in de inhoudshub.
Selecteer in Microsoft Sentinel De hub Inhoud en zoek en selecteer de sjabloon voor de implementatieregel voor verdachte resources in de oplossing Azure Activity.
Selecteer in het detailvenster Regel maken om een nieuwe regel te maken met behulp van de wizard Analyseregel.
Wijzig in de wizard Analyseregel - Een nieuwe geplande regel maken de status inIngeschakeld.
Laat op dit tabblad en alle andere tabbladen in de wizard de standaardwaarden ongewijzigd.
Selecteer op het tabblad Controleren en makende optie Maken.
Gegevens weergeven die zijn opgenomen in Microsoft Sentinel
Nu u de connector voor Azure activiteitsgegevens hebt ingeschakeld en enkele activiteitsgegevens hebt gegenereerd, gaan we de activiteitsgegevens bekijken die aan de werkruimte zijn toegevoegd.
Selecteer>configuratiegegevensconnectors in Microsoft Sentinel en zoek en selecteer de connector voor Azure activiteitsgegevens.
Selecteer in het detailvenster van de connector de optie Connectorpagina openen.
Controleer de status van de gegevensconnector. Deze moet Verbonden zijn.
Selecteer een tabblad om door te gaan, afhankelijk van de portal die u gebruikt:
Selecteer Ga naar log analytics om de pagina Geavanceerde opsporing te openen .
Selecteer bovenaan het deelvenster naast het tabblad Nieuwe query de + om een nieuw querytabblad toe te voegen.
Voer de volgende query uit om de activiteitsdatum weer te geven die in de werkruimte is opgenomen:
AzureActivity
Bijvoorbeeld:
Volgende stappen
In deze quickstart hebt u Microsoft Sentinel ingeschakeld en een oplossing vanuit de inhoudshub geïnstalleerd. Vervolgens stelt u een gegevensconnector in om gegevens op te nemen in Microsoft Sentinel. U hebt ook gecontroleerd of gegevens worden opgenomen door de gegevens in de werkruimte te bekijken.
Als u een nieuwe klant bent die automatisch is voorbereid op de Defender-portal, hebben uw gebruikers alleen toegang tot Microsoft Sentinel in de Defender-portal. Wanneer u de Microsoft Sentinel-documentatie gebruikt, moet u de Defender-portalversie van de documentatie selecteren.
- Zie Verzamelde gegevens visualiseren om de gegevens te visualiseren die u hebt verzameld met behulp van de dashboards en werkmappen.
- Als u bedreigingen wilt detecteren met behulp van analyseregels, raadpleegt u Zelfstudie: Bedreigingen detecteren met behulp van analyseregels in Microsoft Sentinel.