Краткое руководство. Подключение к Microsoft Sentinel

В этом кратком руководстве описано, как включить Microsoft Sentinel и установить решение из концентратора содержимого. Затем вы настроите соединитель данных для начала приема данных в Microsoft Sentinel.

Microsoft Sentinel поставляется с множеством соединителей данных для продуктов Майкрософт, таких как соединитель XDR в Microsoft Defender XDR. Можно также включить встроенные соединители для продуктов, отличных от Майкрософт, таких как Syslog или Common Event Format (CEF). В этом кратком руководстве вы будете использовать соединитель данных о действиях Azure, доступный в решении действий Azure для Microsoft Sentinel.

Необходимые компоненты

• Активная подписка Azure . Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начать работу.

• Рабочая область Log Analytics. Узнайте, как создать рабочую область Log Analytics. Дополнительные сведения о рабочих областях Log Analytics см. в статье Designing your Azure Monitor Logs deployment (Планирование развертывания журналов Azure Monitor).

  По умолчанию в рабочей области Log Analytics, используемой для Microsoft Sentinel, можно хранить данные 30 дней. Чтобы убедиться, что можно использовать все функции и возможности Microsoft Sentinel, требуется увеличить срок хранения до 90 дней. Настройка политик хранения и архивации данных в журналах Azure Monitor.

• Разрешения:

  • Чтобы включить Microsoft Sentinel, вам потребуются разрешения участника в подписке, в которой размещается рабочая область Microsoft Sentinel.

  • Чтобы использовать Microsoft Sentinel, требуется разрешение участника Microsoft Sentinel или Microsoft Sentinel Reader в группе ресурсов, к которой принадлежит рабочая область.

  • Чтобы установить или управлять решениями в центре содержимого, необходимо роль участника Microsoft Sentinel в группе ресурсов, к которой принадлежит рабочая область.

• Microsoft Sentinel — это платная служба. Ознакомьтесь с тарифными планами и страницей цен Microsoft Sentinel.

• Перед развертыванием Microsoft Sentinel в рабочей среде ознакомьтесь с действиями и предварительными условиями развертывания Microsoft Sentinel.

Включение Microsoft Sentinel

Чтобы приступить к работе, добавьте Microsoft Sentinel в существующую рабочую область или создайте новую.

1. Войдите на портал Azure.

2. Найдите и выберите элемент Microsoft Sentinel.

   

3. Нажмите кнопку создания.

4. Выберите имеющуюся рабочую область или создайте другую. Запускать Microsoft Sentinel можно в нескольких рабочих областях, но данные можно использовать только в одной рабочей области.

   

   • Рабочие области по умолчанию, созданные Microsoft Defender для облака, не отображаются в списке. В этих рабочих областях невозможно установить Microsoft Sentinel.
   • После развертывания в рабочей области Microsoft Sentinel не поддерживает перемещение этой рабочей области в другую группу ресурсов или подписку.

5. Выберите Добавить.

В качестве альтернативы использованию портала вы можете подключиться к Microsoft Sentinel с помощью запроса API, вызвав API OnboardingStates ARM.

Установка решения из концентратора содержимого

Центр содержимого в Microsoft Sentinel — это централизованное расположение для обнаружения и управления устаревшим контентом, включая соединители данных. Для этого краткого руководства установите решение для действий Azure.

1. В Microsoft Sentinel выберите центр содержимого.

2. Найдите и выберите решение действий Azure.

   

3. На панели инструментов в верхней части страницы выберите "Установить или обновить".

Настройка соединителя данных

Microsoft Sentinel принимает данные от служб и приложений, подключаясь к службе и перенаправляя события и журналы в Microsoft Sentinel. В этом кратком руководстве установите соединитель данных для пересылки данных для действий Azure в Microsoft Sentinel.

1. В Microsoft Sentinel выберите соединители данных.

2. Найдите и выберите соединитель данных действий Azure.

3. В области сведений для соединителя выберите страницу "Открыть соединитель".

4. Ознакомьтесь с инструкциями по настройке соединителя.

5. Выберите мастер запуска Политика Azure назначения.

6. На вкладке "Основные сведения" задайте областьподписки и группы ресурсов, которая имеет действие для отправки в Microsoft Sentinel. Например, выберите подписку, содержащую экземпляр Microsoft Sentinel.

7. Перейдите на вкладку Параметры.

8. Задайте основную рабочую область Log Analytics. Это должна быть рабочая область, в которой установлен Microsoft Sentinel.

9. Нажмите кнопку Проверить и создать, а затем Создать.

Создание данных о действиях

Давайте создадим некоторые данные действий, включив правило, которое было включено в решение действий Azure для Microsoft Sentinel. На этом шаге также показано, как управлять содержимым в концентраторе контента.

1. В Microsoft Sentinel выберите центр содержимого.

2. Найдите и выберите решение действий Azure.

3. В правой области выберите "Управление".

4. Найдите и выберите шаблон правила подозрительного развертывания ресурсов.

5. Выберите Конфигурация.

6. Выберите правило и создайте правило.

7. На вкладке "Общие" измените состояние на включенный. Оставьте остальные значения по умолчанию.

8. Примите значения по умолчанию на других вкладках.

9. На вкладке "Рецензирование" и "Создать".

Просмотр данных, передаваемых в Microsoft Sentinel

Теперь, когда вы включили соединитель данных действий Azure и создали некоторые данные действий, давайте рассмотрим данные действий, добавленные в рабочую область.

1. В Microsoft Sentinel выберите соединители данных.

2. Найдите и выберите соединитель данных действий Azure.

3. В области сведений для соединителя выберите страницу "Открыть соединитель".

4. Просмотрите состояние соединителя данных. Его следует Подключение.

   

5. В левой части области над диаграммой выберите "Перейти к log analytics".

6. В верхней части области рядом с вкладкой "Создать запрос 1 " выберите + вкладку "Добавить новый запрос".

7. В области запросов выполните следующий запрос, чтобы просмотреть дату приема действий в рабочую область.

    AzureActivity
   

   

Следующие шаги

В этом кратком руководстве описано, как включить Microsoft Sentinel и установить решение из концентратора содержимого. Затем вы настроите соединитель данных для начала приема данных в Microsoft Sentinel. Вы также проверили, что данные принимаются путем просмотра данных в рабочей области.

• Чтобы визуализировать собранные данные с помощью панелей мониторинга и книг, см. статью "Визуализация собранных данных".
• Сведения об обнаружении угроз с помощью правил аналитики см. в руководстве по обнаружению угроз с помощью правил аналитики в Microsoft Sentinel.