Share via

Tanılama ayarları tabanlı bağlantıları kullanarak Microsoft Sentinel'i diğer Microsoft hizmetlerine bağlama

  • Makale

Bu makalede, tanılama ayarları bağlantılarını kullanarak Microsoft Sentinel'e nasıl bağlanıldığı açıklanır. Microsoft Sentinel, birçok Azure ve Microsoft 365 hizmetinden, Amazon Web Services'ten ve çeşitli Windows Server hizmetlerinden veri alımı için yerleşik, hizmetten hizmete destek sağlamak için Azure temelini kullanır. Bu bağlantıların yapıldığı birkaç farklı yöntem vardır.

Bu makalede, tanılama ayarları tabanlı bağlantılar kullanan veri bağlayıcıları grubu için ortak olan bilgiler sağlanır. Bu bağlayıcı türlerinden bazıları Azure İlkesi kullanılarak yönetilir. Bu türdeki diğer bağlayıcılar için tek başına yönergeleri kullanın.

Not

US Government bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. US Government müşterileri için Bulut özelliği kullanılabilirliği'ndeki Microsoft Sentinel tabloları.

Tek başına tanılama ayarları tabanlı bağlayıcılar

Bu bölüm, tek başına tanılama ayarları tabanlı bağlantılar kullanan veri bağlayıcıları grubu için önkoşulları ve genel yükleme yönergelerini kapsar.

Önkoşullar

Microsoft Sentinel'e veri almak için:

  • Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.

Yönergeler

  1. Microsoft Sentinel gezinti menüsünden Veri bağlayıcıları'nı seçin.

  2. Veri bağlayıcıları galerisinden kaynak türünüzü seçin ve ardından önizleme bölmesinde Bağlayıcı Sayfasını Aç'ı seçin.

  3. Bağlayıcı sayfasının Yapılandırma bölümünde, kaynak yapılandırma sayfasını açmak için bağlantıyı seçin.

    İstenen türdeki kaynakların listesi görüntülenirse, günlüklerini almak istediğiniz kaynağın bağlantısını seçin.

  4. Kaynak gezinti menüsünde Tanılama ayarları'nı seçin.

  5. Listenin en altındaki + Tanılama ayarı ekle'yi seçin.

  6. Tanılama ayarları ekranında, Tanılama ayarları adı alanına bir ad girin.

    Log Analytics'e Gönder onay kutusunu işaretleyin. Altında iki yeni alan görüntülenir. İlgili Abonelik ve Log Analytics Çalışma Alanını (Microsoft Sentinel'in bulunduğu yer) seçin.

  7. Toplamak istediğiniz günlük ve ölçüm türlerinin onay kutularını işaretleyin. Veri bağlayıcıları başvuru sayfasındaki kaynağın bağlayıcısı bölümünde her kaynak türü için önerilen seçeneklere bakın.

  8. Ekranın üst kısmındaki Kaydet'i seçin.

Daha fazla bilgi için Azure İzleyici belgelerindeki Azure İzleyici platform günlüklerini ve ölçümlerini farklı hedeflere göndermek için tanılama ayarları oluşturma bölümüne de bakın.

Yönetilen tanılama ayarları tabanlı bağlayıcıları Azure İlkesi

Bu bölüm, Azure İlkesi yönetilen tanılama ayarları tabanlı bağlantılar kullanan veri bağlayıcıları grubu için önkoşulları ve genel yükleme yönergelerini kapsar.

Önkoşullar

Microsoft Sentinel'e veri almak için:

  • Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.

  • kaynaklarınıza günlük akışı ilkesi uygulamak üzere Azure İlkesi kullanmak için, ilke atama kapsamı için Sahip rolüne sahip olmanız gerekir.

  • Veri bağlayıcısı özel gereksinimleri:

    Veri bağlayıcısı Lisanslama, maliyetler ve diğer bilgiler
    Azure Etkinliği Bu bağlayıcı artık tanılama ayarları işlem hattını kullanır. Eski yöntemi kullanıyorsanız, yeni Azure Etkinlik günlüğü bağlayıcısını ayarlamadan önce mevcut aboneliklerin eski yöntemle bağlantısını kesmeniz gerekir.

    1. Microsoft Sentinel gezinti menüsünden Veri bağlayıcıları'nı seçin. Bağlayıcı listesinden Azure Etkinliği'ni seçin ve ardından sağ alt taraftaki Bağlayıcı sayfasını aç düğmesini seçin.
    2. Yönergeler sekmesinin Yapılandırma bölümündeki 1. adımda, eski yönteme bağlı mevcut aboneliklerinizin listesini gözden geçirin ve aşağıdaki Tümünün Bağlantısını Kes düğmesine tıklayarak bunların tümünün bağlantısını bir kerede kesin.
    3. Bu bölümdeki yönergelerle yeni bağlayıcıyı ayarlamaya devam edin.
    Azure DDoS Koruması - Yapılandırılmış Azure DDoS Standart koruma planı.
    - Azure DDoS Standard etkin olarak yapılandırılmış sanal ağ
    - Diğer ücretler uygulanabilir
    - Azure DDoS Koruması Veri Bağlayıcısı'nın Durumu , yalnızca korunan kaynaklar DDoS saldırısı altında olduğunda Bağlandı olarak değişir.
    Azure Depolama Hesabı Depolama hesabı (üst) kaynağında her depolama türü için diğer (alt) kaynaklar bulunur: dosyalar, tablolar, kuyruklar ve bloblar.
    Depolama hesabı için tanılamayı yapılandırırken şunları seçmeniz ve yapılandırmanız gerekir:

    - İşlem ölçümünü dışarı aktaran üst hesap kaynağı.
    - Tüm günlükleri ve ölçümleri dışarı aktararak alt depolama türündeki kaynakların her biri.

    Yalnızca gerçekte kaynak tanımladığınız depolama türlerini görürsünüz.

Yönergeler

Bu tür bağlayıcılar, kapsam olarak tanımlanan tek tür kaynak koleksiyonuna tek bir tanılama ayarları yapılandırması uygulamak için Azure İlkesi kullanır. Belirli bir kaynak türünden alınan günlük türlerini ilgili kaynağın bağlayıcı sayfasının sol tarafında , Veri türleri'nin altında görebilirsiniz.

  1. Microsoft Sentinel gezinti menüsünden Veri bağlayıcıları'nı seçin.

  2. Veri bağlayıcıları galerisinden kaynak türünüzü seçin ve ardından önizleme bölmesinde Bağlayıcı Sayfasını Aç'ı seçin.

  3. Bağlayıcı sayfasının Yapılandırma bölümünde, burada gördüğünüz genişleticileri genişletin ve Atamayı Başlat Azure İlkesi sihirbazı düğmesini seçin.

    İlke atama sihirbazı açılır ve önceden doldurulmuş bir ilke adıyla yeni bir ilke oluşturmaya hazır.

    1. Temel Bilgiler sekmesinde, aboneliğinizi (ve isteğe bağlı olarak bir kaynak grubu) seçmek için Kapsam'ın altında üç nokta bulunan düğmeyi seçin. Açıklama da ekleyebilirsiniz.

    2. Parametreler sekmesinde:

      • Yalnızca giriş gerektiren parametreleri göster onay kutusunu temizleyin.
      • Efekt ve Ayar adı alanlarını görüyorsanız, bu alanları olduğu gibi bırakın.
      • Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin.
      • Kalan açılan alanlar kullanılabilir tanılama günlüğü türlerini temsil eder. Almak istediğiniz tüm günlük türlerini "True" olarak işaretlendi olarak bırakın.

    3. İlke, gelecekte eklenen kaynaklara uygulanacaktır. İlkeyi var olan kaynaklarınıza da uygulamak için Düzeltme sekmesini seçin ve Düzeltme görevi oluştur onay kutusunu işaretleyin.

    4. Gözden Geçir + oluştur sekmesinde Oluştur'a tıklayın. İlkeniz artık seçtiğiniz kapsama atanır.

Bu veri bağlayıcısı türüyle, bağlantı durumu göstergeleri (veri bağlayıcıları galerisindeki bir renk şeridi ve veri türü adlarının yanındaki bağlantı simgeleri) yalnızca veriler son 14 gün içinde belirli bir noktada alınmışsa bağlı (yeşil) olarak gösterilir. Veri alımı olmadan 14 gün geçtikten sonra bağlayıcının bağlantısı kesilmiş olarak gösterilir. Daha fazla veri geldiği anda bağlı durum döndürülecektir.

Veri bağlayıcıları başvuru sayfasındaki kaynağın bağlayıcısı bölümünde görünen tablo adını kullanarak her kaynak türünün verilerini bulabilir ve sorgulayabilirsiniz. Daha fazla bilgi için Azure İzleyici belgelerindeki Azure İzleyici platform günlüklerini ve ölçümlerini farklı hedeflere göndermek için tanılama ayarları oluşturma bölümüne bakın.

Sonraki adımlar

Daha fazla bilgi için bkz.