Quickstart: Onboarding van Microsoft Sentinel

In deze quickstart schakelt u Microsoft Sentinel in en stelt u vervolgens gegevensconnectors in om uw omgeving te bewaken en te beveiligen. Nadat u uw gegevensbronnen hebt verbonden met behulp van gegevensconnectors, kiest u uit een galerie met vakkundig gemaakte werkmappen die inzichten weergeven op basis van uw gegevens. Deze werkmappen kunnen gemakkelijk worden aangepast aan uw behoeften.

Microsoft Sentinel wordt geleverd met veel connectors voor Microsoft producten, bijvoorbeeld de Microsoft 365 Defender service-to-service-connector. U kunt ook ingebouwde connectors inschakelen voor niet-Microsoft producten, bijvoorbeeld Syslog of CEF (Common Event Format). Meer informatie over gegevensconnectors.

Globale vereisten

Microsoft Sentinel inschakelen

  1. Meld u aan bij Azure Portal. Zorg ervoor dat het abonnement waarin Microsoft Sentinel wordt gemaakt, is geselecteerd.

  2. Zoek en selecteer Microsoft Sentinel.

    Schermopname van het zoeken naar een service tijdens het inschakelen van Microsoft Sentinel.

  3. Selecteer Toevoegen.

  4. Selecteer de werkruimte die u wilt gebruiken of maak een nieuwe. U kunt Microsoft Sentinel uitvoeren in meer dan één werkruimte, maar de gegevens worden geïsoleerd in één werkruimte. Standaardwerkruimten die zijn gemaakt door Microsoft Defender voor Cloud, worden niet weergegeven in de lijst. U kunt Microsoft Sentinel niet installeren in deze werkruimten.

    Schermopname van het kiezen van een werkruimte tijdens het inschakelen van Microsoft Sentinel.

    Belangrijk

    • Na implementatie in een werkruimte biedt Microsoft Sentinel momenteel geen ondersteuning voor het verplaatsen van die werkruimte naar andere resourcegroepen of abonnementen.

      Als u de werkruimte al hebt verplaatst, moet u alle actieve regels onder Analyses uitschakelen en na vijf minuten opnieuw inschakelen. In de meeste gevallen is dit effectief, hoewel de methode niet wordt ondersteund en voor eigen risico wordt uitgevoerd.

  5. Selecteer Microsoft Sentinel toevoegen.

Gegevensconnectors instellen

Microsoft Sentinel neemt gegevens op van services en apps door verbinding te maken met de service en de gebeurtenissen en logboeken door te sturen naar Microsoft Sentinel.

  • Voor fysieke en virtuele machines kunt u de Log Analytics-agent installeren die de logboeken verzamelt en doorstuurt naar Microsoft Sentinel.
  • Voor firewalls en proxy's installeert Microsoft Sentinel de Log Analytics-agent op een Linux Syslog-server, van waaruit de agent de logboekbestanden verzamelt en doorstuurt naar Microsoft Sentinel.
  1. Selecteer Gegevensconnectors in het hoofdmenu. Hiermee opent u de galerie met gegevensconnectors.

  2. Selecteer een gegevensconnector en selecteer vervolgens de knop Connector openen.

  3. De connectorpagina bevat instructies voor het configureren van de connector en eventuele andere instructies die nodig zijn.

    Als u bijvoorbeeld de Azure Active Directory-gegevensconnector selecteert, waarmee u logboeken van Azure AD naar Microsoft Sentinel kunt streamen, kunt u selecteren welk type logboeken u wilt ophalen: aanmeldingslogboeken en/of auditlogboeken.
    Volg de installatie-instructies. Lees voor meer informatie de relevante verbindingshandleiding of meer informatie over Microsoft Sentinel-gegevensconnectors.

  4. In het tabblad Volgende stappen op de connectorpagina ziet u relevante ingebouwde werkmappen, voorbeeldquery's en sjablonen van analytics-regels die bij de gegevensconnector horen. U kunt deze ongewijzigd gebruiken of wijzigen. In ieder geval kunt u onmiddellijk interessante inzichten krijgen over uw gegevens.

Nadat u uw gegevensconnectors hebt ingesteld, worden uw gegevens gestreamd naar Microsoft Sentinel en kunt u ermee aan de slag. U kunt de logboeken in de ingebouwde werkmappen weergeven en beginnen met het bouwen van query's in Log Analytics om de gegevens te onderzoeken.

Bekijk de best practices voor gegevensverzameling.

Volgende stappen

Zie voor meer informatie: