通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用基于诊断设置的连接将Microsoft Sentinel连接到其他Microsoft服务

本文介绍如何使用诊断设置连接连接到Microsoft Sentinel。 Microsoft Sentinel 使用 Azure 基础为来自许多 Azure 和 Microsoft 365 服务、Amazon Web Services 和各种 Windows Server 服务的数据引入提供内置的服务到服务支持。 可以通过几种不同的方法建立这些连接。

本文介绍使用基于诊断设置的连接的数据连接器组通用的信息。 其中某些类型的连接器通过使用Azure Policy进行管理。 对于这种类型的其他连接器,请使用独立的说明。

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的 Cloud 功能可用性中的Microsoft Sentinel表

先决条件

若要使用基于诊断设置的独立连接器将数据引入Microsoft Sentinel,必须对为Microsoft Sentinel启用的Log Analytics工作区具有读取和写入权限。

若要使用Azure Policy管理的基于诊断设置的连接器将数据引入Microsoft Sentinel,还必须具备以下先决条件:

  • 若要使用Azure Policy将日志流式处理策略应用到资源,必须具有策略分配范围的“所有者”角色。

  • 具体先决条件取决于您使用的连接器:

    数据连接器 许可、成本和其他信息
    Azure Activity 此连接器现在使用诊断设置管道。 如果使用旧方法,则必须在设置新的Azure活动日志连接器之前断开现有订阅与旧方法的连接。

    1.在Microsoft Sentinel导航菜单中,选择数据连接器。 在连接器列表中,选择Azure 活动,然后选择右下角的打开连接器页面按钮。
    2. 在“ 说明 ”选项卡的“ 配置 ”部分的步骤 1 中,查看已连接到旧方法的现有订阅的列表,然后单击下面的“ 全部断开连接 ”按钮一次性断开所有订阅。
    3. 按照本部分中的说明继续设置新连接器。
    Azure DDoS 防护 - 配置的 Azure DDoS 标准保护计划
    - 配置了启用 Azure DDoS Standard 的虚拟网络
    - 可能会收取其他费用
    - Azure DDoS 保护数据连接器的 Status 更改为 Connected仅当受保护资源受到 DDoS 攻击时。
    Azure Storage 帐户 存储帐户(父)资源具有每种存储类型的其他(子)资源:文件、表、队列和 Blob。
    为存储帐户配置诊断时,必须选择并配置:

    - 父帐户资源,用于导出 事务 指标。
    - 每个子存储类型资源,用于导出所有日志和指标。

    您只会看到那些实际为其定义了资源的存储类型。

通过基于独立诊断设置的连接器进行连接

此过程说明如何使用基于诊断设置的独立连接的数据连接器连接到 Microsoft Sentinel。

  1. 在 Microsoft Sentinel 导航菜单中,选择数据连接器

  2. 从数据连接器库中选择您的资源类型,然后在预览窗格中选择 打开连接器页面

  3. 在连接器页的 “配置 ”部分中,选择用于打开资源配置页的链接。

    如果显示目标资源类型列表,请选择要导入其日志的资源链接。

  4. 在资源导航菜单中,选择“ 诊断设置”。

  5. 选择列表底部的“ + 添加诊断设置 ”。

  6. “诊断设置” 屏幕中,在 “诊断设置名称 ”字段中输入名称。

    选中 发送到 Log Analytics 复选框。 其下面会显示两个新字段。 选择相关“订阅”和“Log Analytics 工作区”(Microsoft Sentinel 驻留的位置)。

  7. 勾选要收集的日志和指标类型的复选框。 请参阅“ 数据连接器参考 ”页中资源连接器部分中每个资源类型的推荐选项。

  8. 选择屏幕顶部的保存

有关详细信息,请参阅创建诊断设置,以将Azure Monitor平台日志和指标发送到Azure Monitor文档中的不同目标

通过由Azure Policy管理的基于诊断设置的连接器进行连接

本过程描述如何使用基于诊断设置的连接,并由 Azure Policy 管理的 Microsoft Sentinel 数据连接器进行连接。

此类型的连接器使用Azure Policy将单个诊断设置配置应用于定义为作用域的单个类型的资源集合。 可以在该资源的连接器页面左侧的“数据类型”下查看从给定资源类型引入的日志类型。

  1. 在 Microsoft Sentinel 导航菜单中,选择数据连接器

  2. 从数据连接器库中选择资源类型,然后在预览窗格中选择 “打开连接器页面”

  3. 在连接器页面的 Configuration 部分中,展开任何看到的选项,然后选择启动 Azure 策略分配向导按钮。

    策略分配向导随即打开,准备创建新策略,并预先填充策略名称。

    1. 在“ 基本信息 ”选项卡中,选择“ 作用域 ”下的三个点的按钮,以选择订阅(可以选择为资源组)。 还可以添加说明。

    2. 在“ 参数 ”选项卡中:

      • 清除 “仅显示需要输入 ”复选框的参数。
      • 如果看到 “效果 ”和 “设置名称 ”字段,请保留原样。
      • Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区。
      • 其余的下拉字段表示可用的诊断日志类型。 保留标记为 True 的所有要引入的日志类型。

    3. 此策略将应用于将来添加的资源。 若要对现有资源应用策略,请选择 “修正 ”选项卡并标记“ 创建修正任务 ”复选框。

    4. 在“ 审阅 + 创建 ”选项卡中,单击“ 创建”。 你的策略现已分配给所选的作用域。

使用此类型的数据连接器时,仅当过去 14 天内某个时间点引入数据时,连接状态指示器(数据连接器库中的颜色条带和数据类型名称旁边的连接图标)才会显示为 已连接 (绿色)。 一旦 14 天过去但未引入数据,连接器将显示为已断开连接。 一旦有更多数据传入,连接状态将恢复。

可以使用在连接器参考页中的资源连接器部分所显示的表名,查找和查询每种资源类型的数据。 有关详细信息,请参阅创建诊断设置,将Azure Monitor平台日志和指标发送到Azure Monitor文档中的不同目标

相关内容

有关详细信息,请参阅:

  • Last updated on