Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом кратком руководстве описано, как включить Microsoft Sentinel и установить решение из концентратора содержимого. Затем вы настроите соединитель данных для начала приема данных в Microsoft Sentinel.
Microsoft Sentinel поставляется с множеством соединителей данных для продуктов Майкрософт, таких как сервисный соединитель XDR для Microsoft Defender XDR. Можно также включить встроенные соединители для продуктов, отличных от Майкрософт, таких как Syslog или Common Event Format (CEF). В этом кратком руководстве вы будете использовать соединитель данных о действиях Azure, доступный в решении действий Azure для Microsoft Sentinel.
Сведения о подключении к Microsoft Sentinel с помощью API см. в последней поддерживаемой версии Sentinel Onboarding States.
Предварительные условия
Активная подписка Azure . Если у вас еще нет учетной записи, создайте бесплатную учетную запись перед началом работы.
Разрешения:
Чтобы включить Microsoft Sentinel, вам потребуются разрешения участника в подписке, в которой размещается рабочая область Microsoft Sentinel.
Чтобы использовать Microsoft Sentinel, требуется разрешение участника Microsoft Sentinel или Microsoft Sentinel Reader в группе ресурсов, к которой принадлежит рабочая область.
Чтобы установить или управлять решениями в содержимом центре, необходима роль участника Microsoft Sentinel в группе ресурсов, к которой принадлежит рабочая область.
Если вы являетесь новым клиентом Microsoft Sentinel и имеете разрешения владельца подписки или администратора доступа пользователей, ваша рабочая область автоматически подключена к порталу Defender. Пользователи таких рабочих областей используют Microsoft Sentinel только в портале Defender.
Microsoft Sentinel — это платная служба. Ознакомьтесь с тарифными планами и страницей цен Microsoft Sentinel.
Перед развертыванием Microsoft Sentinel в рабочей среде ознакомьтесь с действиями и предварительными условиями развертывания Microsoft Sentinel.
Создание рабочей области Log Analytics
Microsoft Sentinel должен быть добавлен в рабочую область. Если у вас уже есть рабочая область Log Analytics, перейдите к добавлению Microsoft Sentinel в рабочую область Log Analytics. Если у вас еще нет рабочей области Log Analytics, вы можете создать ее с помощью приведенных ниже инструкций или более подробного объяснения в статье "Создание рабочей области Log Analytics". Дополнительные сведения о рабочих областях Log Analytics см. в статье Designing your Azure Monitor Logs deployment (Планирование развертывания журналов Azure Monitor).
По умолчанию в рабочей области Log Analytics, используемой для Microsoft Sentinel, можно хранить данные 30 дней. Чтобы убедиться, что можно использовать все функции и возможности Microsoft Sentinel, требуется увеличить срок хранения до 90 дней. Настройка политик хранения и архивации данных в журналах Azure Monitor.
Войдите на портал Azure.
Найдите и выберите элемент Microsoft Sentinel.
Нажмите кнопку создания.
Выберите "Создать новую рабочую область".
Вподписке>Группе ресурсов выберите Создать новую. Введите имя группы ресурсов и нажмите кнопку "ОК".
Присвойте рабочей области имя и выберите регион, а затем нажмите кнопку "Проверить и создать". (Посмотрите, в каких регионах доступен Log Analytics.)
После прохождения проверки нажмите кнопку "Создать". Дождитесь завершения развертывания.
Добавьте Microsoft Sentinel в рабочую область Log Analytics
На портале Azure найдите и выберите Microsoft Sentinel.
Нажмите кнопку создания.
Выберите рабочую область, которую вы хотите использовать, и нажмите кнопку "Добавить". Microsoft Sentinel может быть запущен в нескольких рабочих областях, но данные отделены для каждой конкретной рабочей области.
- Рабочие области по умолчанию, созданные Microsoft Defender для облака, не отображаются в списке. В этих рабочих областях невозможно установить Microsoft Sentinel.
- После развертывания в рабочей области Microsoft Sentinel не поддерживает перемещение этой рабочей области в другую группу ресурсов или подписку.
Замечание
Если ваша рабочая область не подключена к порталу Defender, рекомендуется подключиться к единому интерфейсу управления операциями безопасности (SecOps) как в Microsoft Sentinel, так и в других службах безопасности Майкрософт. Дополнительные сведения см. в разделе "Подключение Microsoft Sentinel" к порталу Defender.
Если ваша рабочая область автоматически подключена или вы решили подключить рабочую область сейчас, вы можете продолжить выполнение процедур, описанных в этой статье, на портале Microsoft Defender. Если вы впервые используете портал Defender, в процессе выполнения процесса будет задержка в течение нескольких минут.
Доступ к Microsoft Sentinel на портале Defender
Чтобы получить доступ к Microsoft Sentinel на портале Defender, выполните следующие действия.
Войдите на портал Defender.
При первом доступе к порталу Defender подготовка арендатора займет некоторое время.
После настройки вы увидите, что Microsoft Sentinel появится в области навигации с вложенными узлами Microsoft Sentinel. Рассмотрим пример.
Прокрутите вниз в области навигации и выберите параметры > рабочих областей Microsoft Sentinel>, чтобы просмотреть рабочие области, подключенные к порталу Defender и доступные для вас.
Портал Defender поддерживает несколько рабочих областей с одной рабочей областью, выступающей в качестве основной рабочей области для каждого клиента. Дополнительные сведения см. в разделе "Несколько рабочих областей Microsoft Sentinel" на портале Defender и мультитенантном управлении Microsoft Defender.
Установка решения из хаба контента
Центр содержимого в Microsoft Sentinel — это централизованное место для обнаружения и управления готовым контентом, включая соединители данных. Для этого краткого руководства установите решение для журнала действий Azure.
В Microsoft Sentinel перейдите на страницу центра контента и найдите и выберите решение действий Azure .
На боковой панели сведений о решении нажмите кнопку "Установить".
Настройка соединителя данных
Microsoft Sentinel принимает данные от служб и приложений, подключаясь к службе и перенаправляя события и журналы в Microsoft Sentinel. В этом быстром старте установите соединитель данных для пересылки данных об активности Azure в Microsoft Sentinel.
В Microsoft Sentinel выберите Конфигурация>Соединители данных и найдите и выберите соединитель данных действия Azure.
В области сведений о соединителе выберите Открыть страницу соединителя. Используйте инструкции на странице соединителя Azure Activity, чтобы настроить соединитель данных.
Выберите Мастер назначения политики Azure для запуска.
На вкладке "Основные сведения" задайте областьподписки и группы ресурсов, которая имеет действие для отправки в Microsoft Sentinel. Например, выберите подписку, содержащую экземпляр Microsoft Sentinel.
Перейдите на вкладку "Параметры" и задайте основную рабочую область Log Analytics. Это должна быть рабочая область, в которой установлен Microsoft Sentinel.
Нажмите кнопку Проверить и создать, а затем Создать.
Создание данных о действиях
Давайте создадим данные активности, включив правило, которое было включено в решение Azure Activity для Microsoft Sentinel. На этом шаге также показано, как управлять содержимым в концентраторе контента.
В Microsoft Sentinel выберите центр контента и найдите и выберите шаблон правила развертывания подозрительных ресурсов в решении действий Azure .
В области сведений выберите "Создать правило ", чтобы создать новое правило с помощью мастера правил аналитики.
В мастере правил Аналитики создайте новую страницу правил расписания , измените состояние на "Включено".
На этой вкладке и на всех остальных вкладках мастера оставьте значения по умолчанию.
На вкладке «Обзор и создание» выберите «Создать».
Просмотр данных, полученных в Microsoft Sentinel
Теперь, когда вы включили разъём данных активности Azure и сгенерировали некоторые данные активности, давайте посмотрим данные активности, добавленные в рабочую область.
В Microsoft Sentinel выберите Конфигурация>Соединители данных и найдите и выберите соединитель данных действия Azure.
В области сведений о соединителе выберите Открыть страницу соединителя.
Просмотрите состояние соединителя данных. Он должен быть подключен.
Выберите вкладку, чтобы продолжить, в зависимости от того, какой портал вы используете:
Выберите "Перейти к log analytics", чтобы открыть страницу Advanced Hunting.
В верхней части области, рядом с вкладкой "Создать запрос", выберите + для добавления новой вкладки запроса.
Выполните следующий запрос, чтобы просмотреть дату активности в рабочем пространстве:
AzureActivity
Рассмотрим пример.
Следующие шаги
В этом кратком руководстве описано, как включить Microsoft Sentinel и установить решение из концентратора содержимого. Затем вы настроите соединитель данных для начала загрузки данных в Microsoft Sentinel. Вы также проверили, что данные принимаются путем просмотра данных в рабочей области.
Если вы являетесь новым клиентом, который автоматически подключен к порталу Defender, пользователи получат доступ только к Microsoft Sentinel на портале Defender. При использовании документации Microsoft Sentinel обязательно выберите ту версию документации, которая предназначена для портала Defender.
- Чтобы визуализировать собранные данные с помощью панелей мониторинга и книг, см. статью "Визуализация собранных данных".
- Сведения об обнаружении угроз с помощью правил аналитики см. в руководстве по обнаружению угроз с помощью правил аналитики в Microsoft Sentinel.