Udostępnij za pośrednictwem

Łączenie usługi Microsoft Sentinel z innymi usługami firmy Microsoft przy użyciu połączeń diagnostycznych opartych na ustawieniach

  • Artykuł

W tym artykule opisano sposób nawiązywania połączenia z usługą Microsoft Sentinel przy użyciu połączeń ustawień diagnostycznych. Usługa Microsoft Sentinel korzysta z podstaw platformy Azure, aby zapewnić wbudowaną obsługę pozyskiwania danych z wielu usług platformy Azure i platformy Microsoft 365, usług Amazon Web Services i różnych usług systemu Windows Server. Istnieje kilka różnych metod, za pomocą których są wykonywane te połączenia.

W tym artykule przedstawiono informacje, które są wspólne dla grupy łączników danych korzystających z połączeń opartych na ustawieniach diagnostycznych. Niektóre z tych typów łączników są zarządzane przy użyciu Azure Policy. W przypadku innych łączników tego typu użyj instrukcji autonomicznych.

Uwaga

Aby uzyskać informacje na temat dostępności funkcji w chmurach instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Autonomiczne łączniki diagnostyczne oparte na ustawieniach

W tej sekcji opisano wymagania wstępne i ogólne instrukcje instalacji dla grupy łączników danych korzystających z autonomicznych połączeń diagnostycznych opartych na ustawieniach.

Wymagania wstępne

Aby pozyskać dane do usługi Microsoft Sentinel:

  • Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

Instrukcje

  1. W menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych.

  2. Wybierz typ zasobu z galerii łączników danych, a następnie wybierz pozycję Otwórz stronę łącznika w okienku podglądu.

  3. W sekcji Konfiguracja na stronie łącznika wybierz link, aby otworzyć stronę konfiguracji zasobu.

    Jeśli zostanie wyświetlona lista zasobów żądanego typu, wybierz link dla zasobu, którego dzienniki chcesz pozyskać.

  4. W menu nawigacji zasobów wybierz pozycję Ustawienia diagnostyczne.

  5. Wybierz pozycję + Dodaj ustawienie diagnostyczne w dolnej części listy.

  6. Na ekranie Ustawienia diagnostyki wprowadź nazwę w polu Nazwa ustawień diagnostycznych .

    Zaznacz pole wyboru Wyślij do usługi Log Analytics . Poniżej zostaną wyświetlone dwa nowe pola. Wybierz odpowiedni obszar roboczy subskrypcji i usługi Log Analytics (gdzie znajduje się usługa Microsoft Sentinel).

  7. Zaznacz pola wyboru typów dzienników i metryk, które chcesz zebrać. Zobacz nasze zalecane opcje dla każdego typu zasobu w sekcji łącznika zasobu na stronie referencyjnej Łączniki danych .

  8. Wybierz pozycję Zapisz w górnej części ekranu.

Aby uzyskać więcej informacji, zobacz również Tworzenie ustawień diagnostycznych w celu wysyłania dzienników platformy i metryk usługi Azure Monitor do różnych miejsc docelowych w dokumentacji usługi Azure Monitor.

Azure Policy zarządzanych łączników diagnostycznych opartych na ustawieniach

W tej sekcji opisano wymagania wstępne i ogólne instrukcje instalacji grupy łączników danych, które używają Azure Policy zarządzanych połączeń diagnostycznych opartych na ustawieniach.

Wymagania wstępne

Aby pozyskać dane do usługi Microsoft Sentinel:

  • Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

  • Aby użyć Azure Policy do zastosowania zasad przesyłania strumieniowego dziennika do zasobów, musisz mieć rolę Właściciela dla zakresu przypisania zasad.

  • Wymagania specyficzne dla łącznika danych:

    Łącznik danych Licencjonowanie, koszty i inne informacje
    Działanie platformy Azure Ten łącznik używa teraz potoku ustawień diagnostycznych. Jeśli używasz starszej metody, musisz odłączyć istniejące subskrypcje od starszej metody przed skonfigurowaniem nowego łącznika dziennika aktywności platformy Azure.

    1. W menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Z listy łączników wybierz pozycję Działanie platformy Azure, a następnie wybierz przycisk Otwórz łącznik w prawym dolnym rogu.
    2. Na karcie Instrukcje w sekcji Konfiguracja w kroku 1 przejrzyj listę istniejących subskrypcji, które są połączone ze starszą metodą, i odłącz je wszystkie naraz, klikając przycisk Rozłącz wszystko poniżej.
    3. Kontynuuj konfigurowanie nowego łącznika, zgodnie z instrukcjami w tej sekcji.
    Azure DDoS Protection — Skonfigurowany plan ochrony usługi Azure DDoS w warstwie Standardowa.
    — Skonfigurowano sieć wirtualną z włączoną usługą Azure DDoS w warstwie Standardowa
    - Mogą obowiązywać inne opłaty
    Stan łącznika danych usługi Azure DDoS Protection zmienia się na Połączony tylko wtedy, gdy chronione zasoby są objęte atakiem DDoS.
    Konto usługi Azure Storage Zasób konta magazynu (nadrzędny) zawiera w nim inne (podrzędne) zasoby dla każdego typu magazynu: pliki, tabele, kolejki i obiekty blob.
    Podczas konfigurowania diagnostyki dla konta magazynu należy wybrać i skonfigurować:

    — Zasób konta nadrzędnego, eksportując metryki Transakcja .
    — Każdy z podrzędnych zasobów typu magazynu, eksportując wszystkie dzienniki i metryki.

    Zobaczysz tylko typy magazynów, dla których faktycznie zdefiniowano zasoby.

Instrukcje

Łączniki tego typu używają Azure Policy do zastosowania jednej konfiguracji ustawień diagnostycznych do kolekcji zasobów pojedynczego typu zdefiniowanego jako zakres. Typy dzienników pozyskane z danego typu zasobu są widoczne po lewej stronie strony łącznika dla tego zasobu w obszarze Typy danych.

  1. W menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych.

  2. Wybierz typ zasobu z galerii łączników danych, a następnie wybierz pozycję Otwórz stronę łącznika w okienku podglądu.

  3. W sekcji Konfiguracja na stronie łącznika rozwiń wszystkie widoczne tam rozszerzenia i wybierz przycisk Kreatora uruchamiania Azure Policy przypisania.

    Zostanie otwarty kreator przypisania zasad, gotowy do utworzenia nowych zasad z wstępnie wypełniona nazwą zasad.

    1. Na karcie Podstawy wybierz przycisk z trzema kropkami w obszarze Zakres , aby wybrać subskrypcję (i opcjonalnie grupę zasobów). Możesz również dodać opis.

    2. Na karcie Parametry :

      • Wyczyść pole wyboru Tylko pokaż parametry, które wymagają danych wejściowych .
      • Jeśli zobaczysz pola Nazwa efektu i ustawienia , pozostaw je tak, jak to jest.
      • Wybierz obszar roboczy usługi Microsoft Sentinel z listy rozwijanej Obszar roboczy usługi Log Analytics .
      • Pozostałe pola listy rozwijanej reprezentują dostępne typy dzienników diagnostycznych. Pozostaw zaznaczone jako "True" wszystkie typy dzienników, które chcesz pozyskać.

    3. Zasady zostaną zastosowane do zasobów dodanych w przyszłości. Aby zastosować również zasady w istniejących zasobach, zaznacz kartę Korygowanie i zaznacz pole wyboru Utwórz zadanie korygowania .

    4. Na karcie Przeglądanie + tworzenie kliknij pozycję Utwórz. Twoje zasady są teraz przypisywane do wybranego zakresu.

W przypadku tego typu łącznika danych wskaźniki stanu łączności (pasek kolorów w galerii łączników danych i ikony połączeń obok nazw typów danych) będą wyświetlane jako połączone (zielone) tylko wtedy, gdy dane zostały pozyskane w pewnym momencie w ciągu ostatnich 14 dni. Po upływie 14 dni bez pozyskiwania danych łącznik będzie wyświetlany jako odłączony. Po chwili, gdy pojawią się kolejne dane, zostanie zwrócony stan połączenia .

Dane dla każdego typu zasobu można znaleźć i wykonać względem nich zapytania, używając nazwy tabeli wyświetlanej w sekcji łącznika zasobu na stronie referencyjnej Łączniki danych . Aby uzyskać więcej informacji, zobacz Tworzenie ustawień diagnostycznych w celu wysyłania dzienników platformy i metryk usługi Azure Monitor do różnych miejsc docelowych w dokumentacji usługi Azure Monitor.

Następne kroki

Aby uzyskać więcej informacji, zobacz: