Snabbstart: Registrera Microsoft Sentinel

I den här snabbstarten aktiverar du Microsoft Sentinel och konfigurerar sedan dataanslutningsprogram för att övervaka och skydda din miljö. När du har anslutit dina datakällor med hjälp av dataanslutningsprogram väljer du från ett galleri med expertskapade arbetsböcker som visar insikter baserat på dina data. Dessa arbetsböcker kan enkelt anpassas efter dina behov.

Microsoft Sentinel levereras med många anslutningsappar för Microsoft produkter, till exempel Microsoft 365 Defender tjänst-till-tjänst-anslutning. Du kan också aktivera inbyggda anslutningsappar för icke-Microsoft produkter, till exempel Syslog eller Common Event Format (CEF). Läs mer om dataanslutningsprogram.

Globala krav

Aktivera Microsoft Sentinel

  1. Logga in på Azure-portalen. Kontrollera att prenumerationen där Microsoft Sentinel har skapats är markerad.

  2. Sök efter och välj Microsoft Sentinel.

    Skärmbild av sökning efter en tjänst när Microsoft Sentinel aktiveras.

  3. Välj Lägg till.

  4. Välj den arbetsyta som du vill använda eller skapa en ny. Du kan köra Microsoft Sentinel på mer än en arbetsyta, men data är isolerade till en enda arbetsyta. Observera att standardarbetsytor som skapats av Microsoft Defender för molnet inte visas i listan. Du kan inte installera Microsoft Sentinel på dessa arbetsytor.

    Skärmbild av att välja en arbetsyta när Microsoft Sentinel aktiveras.

    Viktigt

    • När den har distribuerats på en arbetsyta stöder Microsoft Sentinel för närvarande inte flytt av arbetsytan till andra resursgrupper eller prenumerationer.

      Om du redan har flyttat arbetsytan inaktiverar du alla aktiva regler under Analys och aktiverar dem igen efter fem minuter. Detta bör dock vara effektivt i de flesta fall för att upprepa att det inte stöds och utförs på egen risk.

  5. Välj Lägg till Microsoft Sentinel.

Konfigurera dataanslutningar

Microsoft Sentinel matar in data från tjänster och appar genom att ansluta till tjänsten och vidarebefordra händelser och loggar till Microsoft Sentinel.

  • För fysiska och virtuella datorer kan du installera Log Analytics-agenten som samlar in loggarna och vidarebefordrar dem till Microsoft Sentinel.
  • För brandväggar och proxyservrar installerar Microsoft Sentinel Log Analytics-agenten på en Linux Syslog-server, varifrån agenten samlar in loggfilerna och vidarebefordrar dem till Microsoft Sentinel.
  1. På huvudmenyn väljer du Dataanslutningsprogram. Då öppnas galleriet för dataanslutningsappar.

  2. Välj en dataanslutning och välj sedan knappen Öppna anslutningsappens sida .

  3. På sidan för anslutningsappen visas anvisningar för hur du konfigurerar anslutningsappen och andra instruktioner som kan vara nödvändiga.

    Om du till exempel väljer Azure Active Directory-dataanslutningsappen, som gör att du kan strömma loggar från Azure AD till Microsoft Sentinel, kan du välja vilken typ av loggar du vill få – inloggningsloggar och/eller granskningsloggar.
    Följ installationsinstruktionerna. Om du vill veta mer kan du läsa relevant anslutningsguide eller lära dig mer om Microsoft Sentinel-dataanslutningar.

  4. Fliken Nästa steg på anslutningssidan visar relevanta inbyggda arbetsböcker, exempelfrågor och analysregelmallar som medföljer dataanslutningsappen. Du kan använda dessa som de är eller ändra dem – på båda sätten kan du omedelbart få intressanta insikter om dina data.

När du har konfigurerat dina dataanslutningar börjar dina data strömmas till Microsoft Sentinel och är redo att börja arbeta med. Du kan visa loggarna i de inbyggda arbetsböckerna och börja skapa frågor i Log Analytics för att undersöka data.

Granska metodtipsen för datainsamling.

Nästa steg

Mer information finns i: