Подключение Microsoft Sentinel к другим службам Майкрософт с помощью подключений на основе параметров диагностики

  • Статья

В этой статье описывается, как подключиться к Microsoft Sentinel с помощью подключений параметров диагностики. Microsoft Sentinel использует основу Azure для предоставления встроенной поддержки между службами для приема данных из многих служб Azure и Microsoft 365, Amazon Web Services и различных служб Windows Server. Существует несколько различных методов, с помощью которых создаются эти соединения.

В этой статье представлены общие сведения для группы соединителей данных, использующих подключения на основе параметров диагностики. Некоторые из этих типов соединителей управляются с помощью Политика Azure. Для других соединителей этого типа используйте автономные инструкции.

Примечание

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Автономные соединители на основе параметров диагностики

В этом разделе рассматриваются предварительные требования и общие инструкции по установке для группы соединителей данных, использующих подключения на основе автономных параметров диагностики.

Предварительные требования

Для принятия данных в Microsoft Sentinel:

  • У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.

Инструкции

  1. В меню навигации Microsoft Sentinel выберите Соединители данных.

  2. Выберите тип ресурса в галерее соединителей данных, после чего выберите Открыть страницу соединителя на панели предварительного просмотра.

  3. В разделе Конфигурация страницы соединителя выберите ссылку, чтобы открыть страницу конфигурации ресурса.

    Если представлен список ресурсов желаемого типа, выберите ссылку для ресурса, журналы которого вы хотите принять.

  4. В меню навигации по ресурсам выберите Параметры диагностики.

  5. Выберите + Добавить параметр диагностики в нижней части списка.

  6. На экране Настройки диагностики введите имя в поле Имя настроек диагностики.

    Установите флажок Отправить в Log Analytics. Под ним отобразятся два новых поля. Выберите подходящую подписку и рабочую область Log Analytics (где находится Microsoft Sentinel).

  7. Установите флажки для типов журналов и показателей, которые требуется получить. Ознакомьтесь с нашими рекомендуемыми вариантами выбора для каждого типа ресурса в разделе соединителя ресурса на странице Справка по соединителям данных.

  8. Выберите Сохранить в верхней части экрана.

Дополнительные сведения см. также в статье Создание параметров диагностики для отправки журналов и метрик платформы из Azure Monitor в разные места назначения в документации по Azure Monitor.

соединители на основе управляемых параметров диагностики Политика Azure

В этом разделе рассматриваются предварительные требования и общие инструкции по установке для группы соединителей данных, использующих подключения на основе управляемых параметров диагностики Политика Azure.

Предварительные требования

Для принятия данных в Microsoft Sentinel:

  • У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.

  • Чтобы использовать политику Azure для применения политики потоковой передачи журналов к вашим ресурсам, у вас должна быть роль владельца для области назначения политики.

  • Требования к соединителю данных:

    Соединитель данных Лицензирование, затраты и другие сведения
    Действия Azure Этот соединитель теперь использует конвейер параметров диагностики. Если вы используете устаревший метод, перед настройкой нового соединителя журнала действий Azure необходимо отключить существующие подписки от устаревшего метода.

    1. В меню навигации Microsoft Sentinel выберите Соединители данных. В списке соединителей выберите Действие Azure, а затем нажмите кнопку Открыть страницу соединителя в правом нижнем углу.
    2. На вкладке Инструкции в разделе Конфигурация на шаге 1 просмотрите список существующих подписок, подключенных к устаревшему методу, и отключите их сразу, нажав кнопку Отключить все ниже.
    3. Продолжите настройку нового соединителя, следуя инструкциям в этом разделе.
    Защита от атак DDoS Azure — Настроен план защиты от атак DDoS Azure уровня "Стандартный".
    — Настроенная виртуальная сеть с поддержкой azure DDoS уровня "Стандартный"
    - Может взиматься другая плата.
    Состояние соединителя данных Защиты от атак DDoS Azure изменится на Подключено , только если защищенные ресурсы находятся под атакой DDoS.
    Учетная запись хранения Azure Ресурс учетной записи хранения (родительский) содержит другие (дочерние) ресурсы для каждого типа хранилища: файлы, таблицы, очереди и большие двоичные объекты.
    При настройке диагностика для учетной записи хранения необходимо выбрать и настроить:

    — ресурс родительской учетной записи, экспортируемый метрику Транзакция .
    — Каждый из дочерних ресурсов типа хранилища, экспортируя все журналы и метрики.

    Вам будут видны только те типы хранилищ, для которых фактически определены ресурсы.

Instructions

Соединители этого типа используют политику Azure для применения одной конфигурации диагностических параметров к коллекции ресурсов одного типа, определенного как область. Вы можете увидеть типы журналов, полученные из данного типа ресурса, в левой части страницы соединителя для этого ресурса в разделе Типы данных.

  1. В меню навигации Microsoft Sentinel выберите Соединители данных.

  2. Выберите тип ресурса в галерее соединителей данных, после чего выберите Открыть страницу соединителя на панели предварительного просмотра.

  3. В разделе Конфигурация страницы соединителя разверните все модули расширения, которые вы видите там, и нажмите кнопку Запустить мастер назначения политики Azure.

    Откроется мастер назначения политики, готовый к созданию новой политики с предварительно заполненным именем политики.

    1. На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку (и, при необходимости, группу ресурсов). Вы также можете добавить описание.

    2. На вкладке Параметры выполните следующее.

      • Снимите флажок с Показывать только параметры, требующие ввода.
      • Если вы видите поля Эффект и Название настройки, оставьте их как есть.
      • Выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics.
      • В оставшихся полях раскрывающегося списка показаны доступные типы журналов диагностики. Оставьте помеченными как "True" все типы журналов, которые вы хотите принимать.

    3. Политика будет применяться к ресурсам, которые будут добавляться позднее. Чтобы применить политику к существующим ресурсам, откройте вкладку Исправление и установите флажок Создание задачи исправления.

    4. На вкладке Review + create (Проверить и создать) щелкните Создать. Теперь ваша политика назначена выбранной области.

При использовании этого типа соединителя данных индикаторы состояния подключения (цветная полоса в галерее коннекторов данных и значки подключения рядом с именами типов данных) будут отображаться как подключенные (зеленый) только в том случае, если данные были загружены в какой-то момент за последние 14 дней. Если в течение 14 дней приема данных не было, соединитель будет отображаться как отключенный. Как только поступят данные, состояние изменится на Подключено.

Вы можете найти и запросить данные для каждого типа ресурса, используя имя таблицы, которое отображается в разделе для коннектора ресурса на странице Справка по соединителям данных. Дополнительные сведения см. в статье Создание параметров диагностики для отправки журналов и метрик платформы из Azure Monitor в разные места назначения в документации по Azure Monitor.

Дальнейшие действия

Дополнительные сведения см. в разделе: