Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym przewodniku Szybki start włączysz Microsoft Sentinel i zainstalujesz rozwiązanie z centrum zawartości. Następnie skonfigurujesz łącznik danych, aby rozpocząć pozyskiwanie danych do Microsoft Sentinel.
Microsoft Sentinel zawiera wiele łączników danych dla produktów firmy Microsoft, takich jak łącznik Microsoft Defender XDR service-to-service. Można również włączyć wbudowane łączniki dla produktów innych niż Microsoft, takich jak Syslog lub Common Event Format (CEF). W tym przewodniku Szybki start użyjesz łącznika danych Azure Activity dostępnego w rozwiązaniu Azure Activity dla Microsoft Sentinel.
Aby dołączyć do Microsoft Sentinel przy użyciu interfejsu API, zobacz najnowszą obsługiwaną wersję Sentinel Stany dołączania.
Wymagania wstępne
Aktywna subskrypcja Azure. Jeśli nie masz konta, przed rozpoczęciem utwórz bezpłatne konto .
Uprawnienia:
Aby włączyć Microsoft Sentinel, potrzebne są uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy Microsoft Sentinel.
Aby korzystać z Microsoft Sentinel, musisz mieć uprawnienia współautora Microsoft Sentinel lub czytelnika Microsoft Sentinel w grupie zasobów, do której należy obszar roboczy.
Do zainstalowania rozwiązań w centrum zawartości lub zarządzania nimi potrzebna jest rola współautora Microsoft Sentinel w grupie zasobów, do której należy obszar roboczy.
Jeśli jesteś nowym klientem Microsoft Sentinel i masz uprawnienia właściciela subskrypcji lub administratora dostępu użytkownika, obszar roboczy zostanie automatycznie dołączony do portalu usługi Defender. Użytkownicy takich obszarów roboczych używają tylko Microsoft Sentinel w portalu usługi Defender.
Microsoft Sentinel jest usługą płatną. Przejrzyj opcje cenowe i stronę cennika Microsoft Sentinel.
Przed wdrożeniem Microsoft Sentinel w środowisku produkcyjnym zapoznaj się ze wstępnie wdrożonymi działaniami i wymaganiami wstępnymi dotyczącymi wdrażania Microsoft Sentinel.
Tworzenie obszaru roboczego usługi Log Analytics
Microsoft Sentinel należy dodać do obszaru roboczego. Jeśli masz już obszar roboczy usługi Log Analytics, przejdź do dodawania Microsoft Sentinel do obszaru roboczego usługi Log Analytics. Jeśli nie masz jeszcze obszaru roboczego usługi Log Analytics, możesz go utworzyć, korzystając z poniższych instrukcji lub, aby uzyskać bardziej szczegółowe wyjaśnienie, przejdź do sekcji Tworzenie obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji na temat obszarów roboczych usługi Log Analytics, zobacz Projektowanie wdrożenia dzienników monitorowania Azure.
W obszarze roboczym usługi Log Analytics używanym do Microsoft Sentinel może być domyślnie przechowywany okres 30 dni. Aby upewnić się, że można używać wszystkich funkcji i funkcji Microsoft Sentinel, zgłoś okres przechowywania do 90 dni. Skonfiguruj zasady przechowywania danych i archiwizacji w Azure Monitoruj dzienniki.
Zaloguj się do witryny Azure Portal.
Wyszukaj i wybierz pozycję Microsoft Sentinel.
Wybierz pozycję Utwórz.
Wybierz pozycję Utwórz nowy obszar roboczy.
W obszarzeGrupa zasobówsubskrypcji> wybierz pozycję Utwórz nową. Wprowadź nazwę grupy zasobów i wybierz przycisk OK.
Nadaj obszarowi roboczemu nazwę i wybierz region, a następnie wybierz pozycję Przejrzyj i utwórz. (Zobacz , w których regionach jest dostępna usługa Log Analytics).
Po zakończeniu weryfikacji wybierz pozycję Utwórz. Poczekaj na zakończenie wdrożenia.
Dodawanie Microsoft Sentinel do obszaru roboczego usługi Log Analytics
Z Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel.
Wybierz pozycję Utwórz.
Wybierz obszar roboczy, którego chcesz użyć, i wybierz pozycję Dodaj. Możesz uruchamiać Microsoft Sentinel w więcej niż jednym obszarze roboczym, ale dane są izolowane do jednego obszaru roboczego.
- Domyślne obszary robocze utworzone przez Microsoft Defender dla chmury nie są wyświetlane na liście. Nie można zainstalować Microsoft Sentinel w tych obszarach roboczych.
- Po wdrożeniu w obszarze roboczym Microsoft Sentinel nie obsługuje przenoszenia tego obszaru roboczego do innej grupy zasobów lub subskrypcji.
Uwaga
Jeśli obszar roboczy nie jest automatycznie dołączany do portalu usługi Defender, zalecamy dołączenie do ujednoliconego środowiska zarządzania operacjami zabezpieczeń (SecOps) zarówno w Microsoft Sentinel, jak i w innych usługach zabezpieczeń firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dołączanie Microsoft Sentinel do portalu usługi Defender.
Jeśli obszar roboczy jest automatycznie dołączany lub jeśli zdecydujesz się teraz dołączyć obszar roboczy, możesz kontynuować procedury opisane w tym artykule w portalu usługi Defender. Jeśli po raz pierwszy korzystasz z portalu usługi Defender, po zakończeniu procesu wystąpi opóźnienie o kilka minut.
Dostęp Microsoft Sentinel w portalu usługi Defender
Aby uzyskać dostęp do Microsoft Sentinel w portalu usługi Defender:
Zaloguj się do portalu usługi Defender.
Po pierwszym uzyskaniu dostępu do portalu usługi Defender aprowizowanie dzierżawy zajmie trochę czasu.
Po zainicjowaniu obsługi administracyjnej zobaczysz Microsoft Sentinel dostępne w okienku nawigacji z zagnieżdżonymi węzłami Microsoft Sentinel. Przykład:
Przewiń w dół w okienku nawigacji i wybierz pozycję Ustawienia > Microsoft Sentinel > Obszary robocze, aby wyświetlić obszary robocze dołączone do portalu usługi Defender i dostępne dla Ciebie.
Portal usługi Defender obsługuje wiele obszarów roboczych z jednym obszarem roboczym działającym jako podstawowy obszar roboczy na dzierżawę. Aby uzyskać więcej informacji, zobacz Wiele obszarów roboczych Microsoft Sentinel w portalu usługi Defender i Microsoft Defender zarządzanie wielodostępne.
Instalowanie rozwiązania z centrum zawartości
Centrum zawartości w Microsoft Sentinel jest scentralizowaną lokalizacją umożliwiającą odnajdywanie zawartości wbudowanej i zarządzanie nią, w tym łączniki danych. W tym przewodniku Szybki start zainstaluj rozwiązanie dla działania Azure.
W Microsoft Sentinel przejdź do strony Centrum zawartości, a następnie znajdź i wybierz rozwiązanie Azure Activity.
W okienku szczegółów rozwiązania z boku wybierz pozycję Zainstaluj.
Konfigurowanie łącznika danych
Microsoft Sentinel pozyskiwać dane z usług i aplikacji, łącząc się z usługą i przekazując zdarzenia i dzienniki do Microsoft Sentinel. W tym przewodniku Szybki start zainstaluj łącznik danych, aby przekazywać dane dla działania Azure do Microsoft Sentinel.
W Microsoft Sentinel wybierz pozycj꣹czniki danychkonfiguracji>, wyszukaj i wybierz łącznik danych Azure Activity.
W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika. Aby skonfigurować łącznik danych, skorzystaj z instrukcji na stronie łącznika Azure Activity.
Wybierz pozycję Uruchom kreatora przypisania Azure Policy.
Na karcie Podstawy ustaw wartość Zakres na subskrypcję i grupę zasobów, która ma działanie do wysłania do Microsoft Sentinel. Na przykład wybierz subskrypcję zawierającą wystąpienie Microsoft Sentinel.
Wybierz kartę Parametry i ustaw podstawowy obszar roboczy usługi Log Analytics. Powinien to być obszar roboczy, w którym zainstalowano Microsoft Sentinel.
Wybierz pozycję Przejrzyj i utwórz i utwórz.
Generowanie danych aktywności
Wygenerujmy pewne dane aktywności, włączając regułę, która została uwzględniona w rozwiązaniu Azure Activity dla Microsoft Sentinel. W tym kroku przedstawiono również sposób zarządzania zawartością w centrum zawartości.
W Microsoft Sentinel wybierz pozycję Centrum zawartości, wyszukaj i wybierz pozycję Szablon reguły wdrażania podejrzanych zasobów w rozwiązaniu Azure Activity.
W okienku szczegółów wybierz pozycję Utwórz regułę , aby utworzyć nową regułę przy użyciu kreatora reguł analizy.
W kreatorze reguł analizy — utwórz nową stronę Reguła zaplanowana , zmień stan na Włączone.
Na tej karcie i wszystkich innych kartach w kreatorze pozostaw wartości domyślne w takiej postaci, w jakiej są.
Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.
Wyświetlanie danych pozyskanych do Microsoft Sentinel
Po włączeniu łącznika danych Azure Activity i wygenerowaniu niektórych danych aktywności wyświetlmy dane aktywności dodane do obszaru roboczego.
W Microsoft Sentinel wybierz pozycj꣹czniki danychkonfiguracji>, wyszukaj i wybierz łącznik danych Azure Activity.
W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.
Przejrzyj stan łącznika danych. Powinna być połączona.
Wybierz kartę, aby kontynuować, w zależności od używanego portalu:
Wybierz pozycję Przejdź do analizy dzienników , aby otworzyć stronę Zaawansowane wyszukiwanie zagrożeń .
W górnej części okienka obok karty Nowe zapytanie wybierz + kartę , aby dodać nowe zapytanie.
Uruchom następujące zapytanie, aby wyświetlić datę działania pozyskaną w obszarze roboczym:
AzureActivity
Przykład:
Następne kroki
W tym przewodniku Szybki start włączono Microsoft Sentinel i zainstalowano rozwiązanie z centrum zawartości. Następnie skonfigurujesz łącznik danych, aby rozpocząć pozyskiwanie danych do Microsoft Sentinel. Sprawdzono również, że dane są pozyskiwane, wyświetlając dane w obszarze roboczym.
Jeśli jesteś nowym klientem, który został automatycznie dołączony do portalu usługi Defender, użytkownicy będą uzyskiwać dostęp do Microsoft Sentinel tylko w portalu usługi Defender. Korzystając z dokumentacji Microsoft Sentinel, upewnij się, że wybrano wersję dokumentacji w portalu usługi Defender.
- Aby zwizualizować zebrane dane przy użyciu pulpitów nawigacyjnych i skoroszytów, zobacz Wizualizowanie zebranych danych.
- Aby wykrywać zagrożenia przy użyciu reguł analizy, zobacz Samouczek: wykrywanie zagrożeń przy użyciu reguł analizy w Microsoft Sentinel.