Краткое руководство. Подключение к Microsoft Sentinel

В этом кратком руководстве описывается, как включить Microsoft Sentinel, а затем настроить соединители данных для мониторинга и защиты окружения. После подключения источников данных с помощью соединителей данных можно выбрать из коллекции созданные экспертами книги, которые позволяют просматривать аналитические сведения на основе имеющихся данных. Эти книги можно легко настроить в соответствии со своими потребностями.

Microsoft Sentinel поставляется с большим количеством соединителей для продукции Майкрософт, например, соединитель между службами Microsoft 365 Defender. Также можно включить встроенные соединители для продукции сторонних производителей, например, Syslog или Common Event Format (CEF). Дополнительные сведения о соединителях данных.

Важно!

Ознакомьтесь с информацией о ценах Microsoft Sentinel и затратах и выставлении счетов Microsoft Sentinel.

Глобальные предварительные требования

Географическая доступность и место расположения данных

  • Microsoft Sentinel можно использовать в рабочих областях из большинства регионов с общедоступным компонентом Log Analytics. В регионах, где Log Analytics доступен недавно, может потребоваться некоторое время на подключение службы Microsoft Sentinel.

  • Страница Место расположения данных в Azure содержит сведения о регионах и расположении данных клиентов.

  • Размещение данных в одном регионе сейчас доступно только для Юго-Восточной Азии (Сингапур) в Азиатско-Тихоокеанском регионе и для Южной Бразилии (штат Сан-Паулу) в географическом регионе "Бразилия".

    Важно!

    • Включив определенные правила, которые используют подсистему машинного обучения, вы предоставляете корпорации Майкрософт разрешение на копирование важных принимаемых данных за пределами региона вашей рабочей области Microsoft Sentinel, так как они требуются подсистеме машинного обучения для обработки таких правил.

Включение Microsoft Sentinel

  1. Войдите на портал Azure. Убедитесь, что выбрана подписка, в которой создано решение Microsoft Sentinel.

  2. Найдите и выберите элемент Microsoft Sentinel.

    Снимок экрана: поиск службы при включении Microsoft Sentinel.

  3. Выберите Добавить.

  4. Выберите имеющуюся рабочую область или создайте другую. Запускать Microsoft Sentinel можно в нескольких рабочих областях, но данные можно использовать в одной. Обратите внимание, что рабочие области по умолчанию, созданные Microsoft Defender для облака, не отображаются в списке. В этих рабочих областях невозможно установить Microsoft Sentinel.

    Снимок экрана: выбор рабочей области при включении Microsoft Sentinel.

    Важно!

    • После развертывания в рабочей области Microsoft Sentinel не поддерживает в настоящее время перемещение такой рабочей области в другие группы ресурсов или подписки.

      Если рабочая область уже перемещена, отключите все активные правила в разделе Аналитика и включите их повторно через пять минут. Хотя в большинстве случаев это позволит получить нужный результат, но помните, что такая возможность не поддерживается и может создать риски.

  5. Выберите Добавить Microsoft Sentinel.

Настройка соединителей данных

Microsoft Sentinel принимает данные от служб и приложений, подключаясь к службе и перенаправляя события и журналы в Microsoft Sentinel.

  • На физических и виртуальных машинах можно установить агент Log Analytics, который собирает журналы и перенаправляет их в Microsoft Sentinel.
  • Для брандмауэров и прокси-серверов Microsoft Sentinel устанавливает агент Log Analytics на сервер системного журнала Linux, с которого агент собирает файлы журнала и пересылает их в Microsoft Sentinel.
  1. В главном меню выберите Соединители данных. Откроется коллекция соединителей данных.

  2. Выберите соединитель данных, а затем выберите Открыть страницу соединителя.

  3. На странице соединителя отображаются указания по настройке соединителя и все прочие инструкции, которые могут потребоваться.

    Например, если выбрать соединитель данных Azure Active Directory, который позволяет выполнять потоковую передачу журналов из Azure AD в Microsoft Sentinel, вы можете выбрать тип журналов, которые необходимо получать (журналы аудита и (или) журналы входов).
    Следуйте инструкциям по установке. Чтобы узнать больше, прочитайте соответствующее руководство по подключению или изучите информацию о соединителях данных Microsoft Sentinel.

  4. На вкладке Дальнейшие действия на странице соединителя отображаются соответствующие встроенные книги, примеры запросов и шаблоны правил аналитики, относящиеся к соединителю данных. Вы можете использовать их "как есть" или изменить. В любом случае можно сразу получить интересующие аналитические сведения на основе имеющихся данных.

После настройки соединителей данных начинает выполняться потоковая передача данных в Microsoft Sentinel, и можно начинать работу с ними. Журналы можно просмотреть во встроенных книгах. Затем вы можете приступить к исследованию данных, создав запросы в Log Analytics.

Ознакомьтесь с рекомендациями по сбору данных.

Дальнейшие действия

Дополнительные сведения см. в разделе: