Dela via


Snabbstart: Registrera Microsoft Sentinel

I den här snabbstarten aktiverar du Microsoft Sentinel och installerar en lösning från innehållshubben. Sedan konfigurerar du en dataanslutning för att börja mata in data i Microsoft Sentinel.

Microsoft Sentinel levereras med många dataanslutningar för Microsoft-produkter, till exempel Microsoft Defender XDR service-to-service-anslutningsappen. Du kan också aktivera inbyggda anslutningsappar för produkter som inte kommer från Microsoft, till exempel Syslog eller Common Event Format (CEF). I den här snabbstarten använder du azure-aktivitetsdataanslutningen som är tillgänglig i Azure Activity-lösningen för Microsoft Sentinel.

Information om hur du registrerar till Microsoft Sentinel med hjälp av API:et finns i den senaste versionen av Sentinel Onboarding States som stöds.

Förutsättningar

Aktivera Microsoft Sentinel

Kom igång genom att lägga till Microsoft Sentinel på en befintlig arbetsyta eller skapa en ny.

  1. Logga in på Azure-portalen.

  2. Sök efter och välj Microsoft Sentinel.

    Skärmbild av sökning efter en tjänst när Microsoft Sentinel aktiveras.

  3. Välj Skapa.

  4. Välj den arbetsyta som du vill använda eller skapa en ny. Du kan köra Microsoft Sentinel på mer än en arbetsyta, men data är isolerade till en enda arbetsyta.

    Skärmbild av hur du väljer en arbetsyta när du aktiverar Microsoft Sentinel.

    • Standardarbetsytorna som skapas av Microsoft Defender för molnet visas inte i listan. Du kan inte installera Microsoft Sentinel på dessa arbetsytor.
    • När den har distribuerats på en arbetsyta har Microsoft Sentinel inte stöd för att flytta arbetsytan till en annan resursgrupp eller prenumeration.
  5. Markera Lägga till.

Installera en lösning från innehållshubben

Innehållshubben i Microsoft Sentinel är den centraliserade platsen för att identifiera och hantera out-of-the-box-innehåll, inklusive dataanslutningar. I den här snabbstarten installerar du lösningen för Azure Activity.

  1. I Microsoft Sentinel väljer du Innehållshubb.

  2. Leta upp och välj azure-aktivitetslösningen.

    Skärmbild av innehållshubben med lösningen för Azure Activity vald.

  3. Välj Installera/uppdatera i verktygsfältet överst på sidan.

Konfigurera dataanslutningsappen

Microsoft Sentinel matar in data från tjänster och appar genom att ansluta till tjänsten och vidarebefordra händelser och loggar till Microsoft Sentinel. I den här snabbstarten installerar du dataanslutningsappen för att vidarebefordra data för Azure Activity till Microsoft Sentinel.

  1. I Microsoft Sentinel väljer du Dataanslutningsprogram.

  2. Sök efter och välj azure-aktivitetsdataanslutningsappen.

  3. I informationsfönstret för anslutningsappen väljer du Sidan Öppna anslutningsapp.

  4. Läs anvisningarna för att konfigurera anslutningsappen.

  5. Välj Guiden Starta Azure Policy-tilldelning.

  6. På fliken Grundläggande anger du omfånget till den prenumeration och resursgrupp som har aktivitet att skicka till Microsoft Sentinel. Välj till exempel den prenumeration som innehåller din Microsoft Sentinel-instans.

  7. Välj fliken Parametrar.

  8. Ange den primära Log Analytics-arbetsytan. Det här bör vara arbetsytan där Microsoft Sentinel är installerat.

  9. Välj Granska + skapa och sedan Skapa.

Generera aktivitetsdata

Nu ska vi generera vissa aktivitetsdata genom att aktivera en regel som ingick i Azure Activity-lösningen för Microsoft Sentinel. Det här steget visar också hur du hanterar innehåll i innehållshubben.

  1. I Microsoft Sentinel väljer du Innehållshubb.

  2. Leta upp och välj azure-aktivitetslösningen.

  3. Välj Hantera i rutan till höger.

  4. Leta upp och välj regelmallen Misstänkt resursdistribution.

  5. Välj Konfiguration.

  6. Välj regeln och Skapa regel.

  7. På fliken Allmänt ändrar du Status till aktiverad. Lämna resten av standardvärdena.

  8. Acceptera standardvärdena på de andra flikarna.

  9. På fliken Granska och skapa väljer du Skapa.

Visa data som matas in i Microsoft Sentinel

Nu när du har aktiverat Azure Activity-dataanslutningsappen och genererat vissa aktivitetsdata ska vi visa aktivitetsdata som lagts till på arbetsytan.

  1. I Microsoft Sentinel väljer du Dataanslutningsprogram.

  2. Sök efter och välj azure-aktivitetsdataanslutningsappen.

  3. I informationsfönstret för anslutningsappen väljer du Sidan Öppna anslutningsapp.

  4. Granska status för dataanslutningsappen. Den ska vara Ansluten.

    Skärmbild av dataanslutningsappen för Azure Activity med statusen som ansluten.

  5. I den vänstra rutan ovanför diagrammet väljer du Gå till logganalys.

  6. Längst upp i fönstret bredvid fliken Ny fråga 1 väljer du fliken + för att lägga till en ny fråga.

  7. I frågefönstret kör du följande fråga för att visa aktivitetsdatumet som matas in på arbetsytan.

     AzureActivity
    

    Skärmbild av loggfrågefönstret med resultat som returneras för Azure-aktivitetsfrågan.

Nästa steg

I den här snabbstarten aktiverade du Microsoft Sentinel och installerade en lösning från innehållshubben. Sedan konfigurerar du en dataanslutning för att börja mata in data i Microsoft Sentinel. Du har också kontrollerat att data matas in genom att visa data på arbetsytan.