Snabbstart: Registrera Microsoft Sentinel

I den här snabbstarten aktiverar du Microsoft Sentinel och installerar en lösning från innehållshubben. Sedan konfigurerar du en dataanslutning för att börja mata in data i Microsoft Sentinel.

Microsoft Sentinel levereras med många dataanslutningar för Microsoft-produkter, till exempel Microsoft Defender XDR service-to-service-anslutningsappen. Du kan också aktivera inbyggda anslutningsappar för produkter som inte kommer från Microsoft, till exempel Syslog eller Common Event Format (CEF). I den här snabbstarten använder du azure-aktivitetsdataanslutningen som är tillgänglig i Azure Activity-lösningen för Microsoft Sentinel.

Förutsättningar

• Aktiv Azure-prenumeration. Om du inte har ett konto kan du skapa ett kostnadsfritt konto innan du börjar.

• Log Analytics-arbetsyta. Lär dig hur du skapar en Log Analytics-arbetsyta. Mer information om Log Analytics-arbetsytor finns i Designa distributionen av Azure Monitor-loggar.

  Du kan ha en standardinställning på 30 dagars kvarhållning på Log Analytics-arbetsytan som används för Microsoft Sentinel. Öka kvarhållningen till 90 dagar för att se till att du kan använda alla Microsoft Sentinel-funktioner. Konfigurera principer för datakvarhållning och arkivering i Azure Monitor-loggar.

• Behörigheter:

  • För att aktivera Microsoft Sentinel behöver du deltagarbehörighet till prenumerationen där Microsoft Sentinel-arbetsytan finns.

  • Om du vill använda Microsoft Sentinel behöver du antingen Behörigheter för Microsoft Sentinel-deltagare eller Microsoft Sentinel-läsare för den resursgrupp som arbetsytan tillhör.

  • Om du vill installera eller hantera lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare i den resursgrupp som arbetsytan tillhör.

• Microsoft Sentinel är en betald tjänst. Granska prisalternativen och prissättningssidan för Microsoft Sentinel.

• Innan du distribuerar Microsoft Sentinel till en produktionsmiljö granskar du fördistributionsaktiviteterna och förutsättningarna för att distribuera Microsoft Sentinel.

Aktivera Microsoft Sentinel

Kom igång genom att lägga till Microsoft Sentinel på en befintlig arbetsyta eller skapa en ny.

1. Logga in på Azure-portalen.

2. Sök efter och välj Microsoft Sentinel.

   

3. Välj Skapa.

4. Välj den arbetsyta som du vill använda eller skapa en ny. Du kan köra Microsoft Sentinel på mer än en arbetsyta, men data är isolerade till en enda arbetsyta.

   

   • Standardarbetsytorna som skapas av Microsoft Defender för molnet visas inte i listan. Du kan inte installera Microsoft Sentinel på dessa arbetsytor.
   • När den har distribuerats på en arbetsyta har Microsoft Sentinel inte stöd för att flytta arbetsytan till en annan resursgrupp eller prenumeration.

5. Markera Lägga till.

Som ett alternativ till att använda portalen kan du registrera till Microsoft Sentinel med hjälp av en API-begäran genom att anropa ARM-API:et OnboardingStates.

Installera en lösning från innehållshubben

Innehållshubben i Microsoft Sentinel är den centraliserade platsen för att identifiera och hantera out-of-the-box-innehåll, inklusive dataanslutningar. I den här snabbstarten installerar du lösningen för Azure Activity.

1. I Microsoft Sentinel väljer du Innehållshubb.

2. Leta upp och välj azure-aktivitetslösningen.

   

3. Välj Installera/uppdatera i verktygsfältet överst på sidan.

Konfigurera dataanslutningsappen

Microsoft Sentinel matar in data från tjänster och appar genom att ansluta till tjänsten och vidarebefordra händelser och loggar till Microsoft Sentinel. I den här snabbstarten installerar du dataanslutningsappen för att vidarebefordra data för Azure Activity till Microsoft Sentinel.

1. I Microsoft Sentinel väljer du Dataanslutningsprogram.

2. Sök efter och välj azure-aktivitetsdataanslutningsappen.

3. I informationsfönstret för anslutningsappen väljer du Sidan Öppna anslutningsapp.

4. Läs anvisningarna för att konfigurera anslutningsappen.

5. Välj Guiden Starta Azure Policy-tilldelning.

6. På fliken Grundläggande anger du omfånget till den prenumeration och resursgrupp som har aktivitet att skicka till Microsoft Sentinel. Välj till exempel den prenumeration som innehåller din Microsoft Sentinel-instans.

7. Välj fliken Parametrar.

8. Ange den primära Log Analytics-arbetsytan. Det här bör vara arbetsytan där Microsoft Sentinel är installerat.

9. Välj Granska + skapa och sedan Skapa.

Generera aktivitetsdata

Nu ska vi generera vissa aktivitetsdata genom att aktivera en regel som ingick i Azure Activity-lösningen för Microsoft Sentinel. Det här steget visar också hur du hanterar innehåll i innehållshubben.

1. I Microsoft Sentinel väljer du Innehållshubb.

2. Leta upp och välj azure-aktivitetslösningen.

3. Välj Hantera i rutan till höger.

4. Leta upp och välj regelmallen Misstänkt resursdistribution.

5. Välj Konfiguration.

6. Välj regeln och Skapa regel.

7. På fliken Allmänt ändrar du Status till aktiverad. Lämna resten av standardvärdena.

8. Acceptera standardvärdena på de andra flikarna.

9. På fliken Granska och skapa väljer du Skapa.

Visa data som matas in i Microsoft Sentinel

Nu när du har aktiverat Azure Activity-dataanslutningsappen och genererat vissa aktivitetsdata ska vi visa aktivitetsdata som lagts till på arbetsytan.

1. I Microsoft Sentinel väljer du Dataanslutningsprogram.

2. Sök efter och välj azure-aktivitetsdataanslutningsappen.

3. I informationsfönstret för anslutningsappen väljer du Sidan Öppna anslutningsapp.

4. Granska status för dataanslutningsappen. Det bör Anslut.

   

5. I den vänstra rutan ovanför diagrammet väljer du Gå till logganalys.

6. Längst upp i fönstret bredvid fliken Ny fråga 1 väljer du fliken + för att lägga till en ny fråga.

7. I frågefönstret kör du följande fråga för att visa aktivitetsdatumet som matas in på arbetsytan.

    AzureActivity
   

   

Nästa steg

I den här snabbstarten aktiverade du Microsoft Sentinel och installerade en lösning från innehållshubben. Sedan konfigurerar du en dataanslutning för att börja mata in data i Microsoft Sentinel. Du har också kontrollerat att data matas in genom att visa data på arbetsytan.

• Information om hur du visualiserar de data som du har samlat in med hjälp av instrumentpaneler och arbetsböcker finns i Visualisera insamlade data.
• Information om hur du identifierar hot med hjälp av analysregler finns i Självstudie: Identifiera hot med hjälp av analysregler i Microsoft Sentinel.