Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze quickstart schakelt u Microsoft Sentinel in en installeert u een oplossing vanuit de inhoudshub. Vervolgens stelt u een gegevensconnector in om gegevens op te nemen in Microsoft Sentinel.
Microsoft Sentinel wordt geleverd met veel gegevensconnectors voor Microsoft-producten, zoals de Microsoft Defender XDR-service-naar-serviceconnector. U kunt ook ingebouwde connectors inschakelen voor niet-Microsoft-producten, zoals Syslog of Common Event Format (CEF). Voor deze quickstart gebruikt u de Azure Activity-gegevensconnector die beschikbaar is in de Azure Activity-oplossing voor Microsoft Sentinel.
Als u onboarding naar Microsoft Sentinel wilt uitvoeren met behulp van de API, raadpleegt u de meest recente ondersteunde versie van sentinel-onboardingstatussen.
Vereisten
Actief Azure-abonnement. Als u nog geen abonnement hebt, maakt u een gratis account voordat u begint.
Machtigingen:
Als u Microsoft Sentinel wilt inschakelen, hebt u inzendermachtigingen nodig voor het abonnement waarin de Microsoft Sentinel-werkruimte zich bevindt.
Als u Microsoft Sentinel wilt gebruiken, hebt u microsoft Sentinel-inzender- of Microsoft Sentinel Reader-machtigingen nodig voor de resourcegroep waartoe de werkruimte behoort.
Als u oplossingen in de inhoudshub wilt installeren of beheren, hebt u de rol Microsoft Sentinel-inzender nodig voor de resourcegroep waartoe de werkruimte behoort.
Als u een nieuwe Microsoft Sentinel-klant bent en machtigingen hebt van een abonnementseigenaar of beheerder van gebruikerstoegang, wordt uw werkruimte automatisch toegevoegd aan de Defender-portal. Gebruikers van dergelijke werkruimten maken alleen gebruik van Microsoft Sentinel in de Defender-portal .
Microsoft Sentinel is een betaalde service. Bekijk de prijsopties en de microsoft Sentinel-pagina met prijzen.
Voordat u Microsoft Sentinel implementeert in een productieomgeving, controleert u de predeploymentactiviteiten en vereisten voor het implementeren van Microsoft Sentinel.
Een Log Analytics-werkruimte maken
Microsoft Sentinel moet worden toegevoegd aan een werkruimte. Als u al een Log Analytics-werkruimte hebt, gaat u verder met het toevoegen van Microsoft Sentinel aan uw Log Analytics-werkruimte. Als u nog geen Log Analytics-werkruimte hebt, kunt u er een maken met behulp van de onderstaande instructies of, voor een gedetailleerdere uitleg, naar Een Log Analytics-werkruimte maken. Zie De implementatie van uw Azure Monitor-logboeken ontwerpenvoor meer informatie over Log Analytics-werkruimten.
Mogelijk hebt u een standaardretentie van 30 dagen in de Log Analytics-werkruimte die wordt gebruikt voor Microsoft Sentinel. Als u ervoor wilt zorgen dat u alle Microsoft Sentinel-functionaliteit en -functies kunt gebruiken, verhoogt u de retentie tot 90 dagen. Gegevensretentie- en archiefbeleid configureren in Azure Monitor-logboeken.
Meld u aan bij het Azure-portaal.
Zoek en selecteer Microsoft Sentinel.
Selecteer Maken.
Selecteer Een nieuwe werkruimte maken.
Onder Abonnement>Resource group, selecteer Nieuw maken. Voer een naam in voor uw resourcegroep en selecteer OK.
Geef de werkruimte een naam en selecteer een regio en selecteer vervolgens Beoordelen en maken. (Zie in welke regio's Log Analytics beschikbaar is.)
Nadat de validatie is geslaagd, selecteert u Maken. Wacht totdat de implementatie is voltooid.
Microsoft Sentinel toevoegen aan uw Log Analytics-werkruimte
Zoek en selecteer Microsoft Sentinel in Azure Portal.
Selecteer Maken.
Selecteer de werkruimte die u wilt gebruiken en selecteer Toevoegen. U kunt Microsoft Sentinel uitvoeren op meer dan één werkruimte, maar gegevens worden geïsoleerd in één werkruimte.
- De standaardwerkruimten die zijn gemaakt door Microsoft Defender voor Cloud worden niet weergegeven in de lijst. U kunt Microsoft Sentinel niet installeren op deze werkruimten.
- Zodra deze is geïmplementeerd in een werkruimte, biedt Microsoft Sentinel geen ondersteuning voor het verplaatsen van die werkruimte naar een andere resourcegroep of een ander abonnement.
Opmerking
Als uw werkruimte niet automatisch wordt toegevoegd aan de Defender-portal, raden we u aan onboarding uit te voeren voor een uniforme ervaring bij het beheren van beveiligingsbewerkingen (SecOps) in zowel Microsoft Sentinel als andere Microsoft-beveiligingsservices. Voor meer informatie, zie Microsoft Sentinel onboarden voor de Defender-portal.
Als uw werkruimte automatisch wordt toegevoegd of als u besluit om uw werkruimte nu te onboarden, kunt u de procedures in dit artikel voortzetten vanuit de Defender-portal. Als dit de eerste keer is dat u de Defender-portal gebruikt, duurt het enkele minuten voordat het proces is voltooid.
Toegang tot Microsoft Sentinel in de Defender-portal
Toegang krijgen tot Microsoft Sentinel in de Defender-portal:
Meld u aan bij de Defender-portal.
De eerste keer dat u de Defender-portal opent, duurt het enige tijd om uw tenant in te richten.
Zodra de inrichting is uitgevoerd, ziet u Microsoft Sentinel beschikbaar in het navigatiedeelvenster, met daarbinnen geneste Microsoft Sentinel-knooppunten. Voorbeeld:
Schuif omlaag in het navigatiedeelvenster en selecteer Instellingen > Microsoft Sentinel-werkruimten > om de werkruimten weer te geven die zijn toegevoegd aan de Defender-portal en die voor u beschikbaar zijn.
De Defender-portal ondersteunt meerdere werkruimten, waarbij één werkruimte fungeert als de primaire werkruimte per tenant. Zie Meerdere Microsoft Sentinel-werkruimten in de Defender-portal en Multitenant-beheer van Microsoft Defender voor meer informatie.
Een oplossing installeren vanuit de inhoudshub
De inhoudshub in Microsoft Sentinel is de centrale locatie voor het detecteren en beheren van out-of-the-box-inhoud, inclusief gegevensconnectors. Voor deze quickstart installeert u de oplossing voor Azure-activiteit.
Blader in Microsoft Sentinel naar de pagina Inhoudshub en zoek en selecteer de Azure-activiteitsoplossing .
Selecteer Installeren in het detailvenster van de oplossing aan de zijkant.
De gegevensconnector instellen
Microsoft Sentinel neemt gegevens van services en apps op door verbinding te maken met de service en de gebeurtenissen en logboeken door te sturen naar Microsoft Sentinel. Voor deze quickstart installeert u de gegevensconnector om gegevens voor Azure-activiteit door te sturen naar Microsoft Sentinel.
In Microsoft Sentinel, selecteer Configuratie>gegevensconnectors en zoek en selecteer de Azure Activity-gegevensconnector.
In het detailvenster van de connector, selecteer Connectorpagina openen. Gebruik de instructies op de pagina Azure Activity connector om de dataconnector in te stellen.
Selecteer De wizard Azure Policy-toewijzing starten.
Stel op het tabblad Basisbeginselen het bereik in op het abonnement en de resourcegroep die activiteit heeft om naar Microsoft Sentinel te verzenden. Selecteer bijvoorbeeld het abonnement dat uw Microsoft Sentinel-exemplaar bevat.
Selecteer het tabblad Parameters en stel de primaire Log Analytics-werkruimte in. Dit moet de werkruimte zijn waar Microsoft Sentinel is geïnstalleerd.
Selecteer Controleren en maken en Maken.
Activiteitsgegevens genereren
We gaan enkele activiteitsgegevens genereren door een regel in te schakelen die is opgenomen in de Azure-activiteitsoplossing voor Microsoft Sentinel. In deze stap ziet u ook hoe u inhoud beheert in de inhoudshub.
Selecteer in Microsoft Sentinel de optie Inhoudshub en zoek en selecteer de sjabloon verdachte resource-implementatieregel in de Azure-activiteitsoplossing .
Selecteer in het detailvenster Regel maken om een nieuwe regel te maken met behulp van de wizard Analytics-regel.
Wijzig de Status naar Ingeschakeld op de pagina Wizard Analyseregel - Nieuwe geplande regel maken.
Laat op dit tabblad en alle andere tabbladen in de wizard de standaardwaarden ongewijzigd.
Selecteer Maken op het tabblad Controleren en maken.
Gegevens weergeven die zijn opgenomen in Microsoft Sentinel
Nu u de Azure Activity-gegevensconnector hebt ingeschakeld en enkele activiteitsgegevens hebt gegenereerd, gaan we de activiteitsgegevens bekijken die aan de werkruimte zijn toegevoegd.
In Microsoft Sentinel, selecteer Configuratie>gegevensconnectors en zoek en selecteer de Azure Activity-gegevensconnector.
In het detailvenster van de connector, selecteer Connectorpagina openen.
Controleer de status van de gegevensconnector. Deze moet verbonden zijn.
Selecteer een tabblad om door te gaan, afhankelijk van de portal die u gebruikt:
Selecteer Ga naar Log Analytics om de pagina Geavanceerde opsporing te openen .
Selecteer aan de bovenkant van het deelvenster naast het tabblad Nieuwe query de + optie om een nieuw querytabblad toe te voegen.
Voer de volgende query uit om de opgenomen activiteitsdatum in de werkruimte weer te geven:
AzureActivity
Voorbeeld:
Volgende stappen
In deze quickstart hebt u Microsoft Sentinel ingeschakeld en een oplossing geïnstalleerd vanuit de inhoudshub. Vervolgens stelt u een gegevensconnector in om gegevens op te nemen in Microsoft Sentinel. U hebt ook gecontroleerd of gegevens worden opgenomen door de gegevens in de werkruimte te bekijken.
Als u een nieuwe klant bent die automatisch is toegevoegd aan de Defender-portal, hebben uw gebruikers alleen toegang tot Microsoft Sentinel via de Defender-portal. Wanneer u de Microsoft Sentinel-documentatie gebruikt, moet u de Defender-portalversie van de documentatie selecteren.
- Zie Verzamelde gegevens visualiseren om de gegevens te visualiseren die u hebt verzameld met behulp van de dashboards en werkmappen.
- Zie Zelfstudie: Bedreigingen detecteren met behulp van analyseregels in Microsoft Sentinel om bedreigingen te detecteren.