Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как подключиться к Microsoft Sentinel с помощью диагностических параметров подключения. Microsoft Sentinel использует платформу Azure для обеспечения встроенной, сервисной поддержки поступления данных от многих сервисов Azure и Microsoft 365, Amazon Web Services, а также различных сервисов Windows Server. Существует несколько различных методов, с помощью которых эти подключения создаются.
В этой статье представлены сведения, которые являются общими для группы соединителей данных, использующих подключения на основе параметров диагностики. Некоторые из этих типов соединителей управляются с помощью Azure Policy. Для других соединителей этого типа используйте автономные инструкции.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в Cloud для клиентов государственных организаций США.
Предварительные условия
Чтобы импортировать данные в Microsoft Sentinel, используя автономный соединитель на основе диагностических параметров, необходимо иметь включенные разрешения на чтение и запись в рабочей области Log Analytics для Microsoft Sentinel.
Чтобы получить данные в Microsoft Sentinel с помощью соединителей на основе параметров диагностики, управляемых Azure Policy, необходимо также иметь следующие предварительные требования:
Чтобы использовать Azure Policy для применения политики потоковой передачи журналов к ресурсам, необходимо иметь роль владельца для области назначения политики.
Следующие предварительные требования зависят от того, какой соединитель вы используете:
Соединитель данных Лицензирование, затраты и другие сведения действие Azure Теперь этот соединитель использует конвейер параметров диагностики. Если вы используете устаревший метод, необходимо отключить существующие подписки от устаревшего метода перед настройкой нового соединителя журнала действий Azure.
1. В меню навигации Microsoft Sentinel выберите Data Connectors. В списке соединителей выберите Журнал действий Azure, а затем нажмите кнопку Открыть страницу соединителя в правом нижнем углу.
2. На вкладке "Инструкции " в разделе "Конфигурация " на шаге 1 просмотрите список существующих подписок, подключенных к устаревшему методу, и отключите их одновременно, нажав кнопку "Отключить все " ниже.
3. Продолжайте настройку нового соединителя с инструкциями в этом разделе.Azure защита от атак DDoS — Настроен план защиты Azure DDoS Standard.
— Настроенная виртуальная сеть в Azure с включенной защитой DDoS Standard
- Могут применяться дополнительные сборы
— Статус Status для коннектора данных Azure DDoS Protection меняется на Connected только в случае, если защищаемые ресурсы находятся под атакой DDoS.Учетная запись Azure Storage Ресурс учетной записи хранения (родительский) включает другие (дочерние) ресурсы для каждого типа хранилища: файлов, таблиц, очередей и BLOB.
При настройке диагностики для учетной записи хранения необходимо выбрать и настроить следующее:
— Ресурс родительской учетной записи, экспорт метрики транзакций .
Каждый из дочерних ресурсов типа хранилища, экспортирующий все журналы и метрики.
Вам будут видны только те типы хранилищ, для которых фактически определены ресурсы.
Подключитесь через отдельный коннектор на основе параметров диагностики
В этой процедуре описывается, как подключиться к Microsoft Sentinel с помощью соединителей данных, использующих автономные подключения на основе параметров диагностики.
В меню навигации Microsoft Sentinel выберите соединители данных.
Выберите тип ресурса из коллекции соединителей данных, а затем выберите "Открыть страницу соединителя " на панели предварительного просмотра.
В разделе "Конфигурация" страницы соединителя выберите ссылку, чтобы открыть страницу конфигурации ресурса.
Если вам представлен список ресурсов желаемого типа, выберите ссылку на ресурс, журналы которого вы хотите загрузить.
В меню навигации по ресурсам выберите параметры диагностики.
Выберите +Добавить параметр диагностики в нижней части списка.
На экране параметров диагностики введите имя в поле имени параметров диагностики .
Установите флажок Отправить в Log Analytics. Под ним отображаются два новых поля. Выберите соответствующую подписку и рабочее пространство Log Analytics (в котором находится Microsoft Sentinel).
Установите флажки для типов журналов и показателей, которые требуется получить. Ознакомьтесь с нашими рекомендуемыми вариантами для каждого типа ресурса в разделе соединителя ресурса на странице справочника по соединителям данных .
Нажмите кнопку "Сохранить " в верхней части экрана.
Дополнительные сведения см. в статье Создание диагностических параметров для отправки журналов и метрик платформы Azure Monitor в различные места назначения в документации Azure Monitor.
Установите соединение через диагностический коннектор, управляемый Azure Policy.
В этой процедуре описывается, как подключиться к Microsoft Sentinel с помощью соединителей данных, использующих подключения, основанные на параметрах диагностики и управляемых Azure Policy.
Соединители этого типа используют Azure Policy для применения одной конфигурации параметров диагностики к коллекции ресурсов одного типа, определенной как область. Типы журналов, полученные из заданного типа ресурса, отображаются в левой части страницы соединителя для этого ресурса в разделе "Типы данных".
В меню навигации Microsoft Sentinel выберите соединители данных.
Выберите тип ресурса из коллекции соединителей данных, а затем выберите "Открыть страницу соединителя " на панели предварительного просмотра.
В разделе Конфигурация страницы соединителя раскройте все раскрывающиеся списки и выберите мастер назначения политики Azure.
Откроется мастер создания политик, готовый к созданию новой политики с предварительно заданным именем политики.
На вкладке "Основные сведения " нажмите кнопку с тремя точками в разделе "Область ", чтобы выбрать подписку (и, при необходимости, группу ресурсов). Вы также можете добавить описание.
На вкладке "Параметры" :
- Снимите флажок 'Только показывать параметры, требующие ввода данных'.
- Если вы видите поля " Эффект " и "Задать имя ", оставьте их как есть.
- Выберите рабочую область Microsoft Sentinel в раскрывающемся списке рабочих областей Log Analytics.
- В остальных пунктах раскрывающегося списка показаны доступные типы журналов диагностики. Оставьте отмеченными как True все типы журналов, которые вы хотите загрузить.
Политика будет применена к ресурсам, добавленным в будущем. Чтобы применить политику к существующим ресурсам, выберите вкладку "Исправление " и установите флажок "Создать задачу исправления ".
На вкладке "Просмотр и создание " нажмите кнопку "Создать". Теперь ваша политика назначена выбранной области.
В этом типе соединителя данных индикаторы состояния подключения (цветовая полоса в коллекции соединителей данных и значки подключения рядом с именами типов данных) отображаются как подключенные (зеленые) только в том случае, если данные были приняты в какой-то момент за последние 14 дней. После 14 дней без приема данных соединитель отображается как отключенный. Как только поступают дополнительные данные, состояние подключения возвращается.
Вы можете найти и запросить данные для каждого типа ресурса, используя имя таблицы, которое отображается в разделе соединителя ресурса на странице ссылок на соединители данных . Дополнительные сведения см. в разделе Создание диагностических параметров для отправки журналов и метрик платформы Azure Monitor в разные назначения в документации Azure Monitor.
Связанный контент
Дополнительные сведения см. в разделе:
- каталог решений Microsoft Sentinel
- Интеграция данных о киберугрозах в Microsoft Sentinel