创建 Microsoft Sentinel 工作区

  • 6 分钟

设计工作区体系结构后,登录到 Azure 门户。 在搜索栏中搜索“Sentinel”,然后选择“Microsoft Sentinel”。 Microsoft Sentinel 工作区中显示当前工作区列表。 选择“+ 添加”按钮,开始创建过程。

注意

如果选择完成此练习,注意可能会产生 Azure 订阅费用。 若要估算成本,请参阅 Microsoft Sentinel 定价。 我们还在练习后提供了交互式实验室模拟。

Microsoft Sentinel 安装先决条件

若要启用 Microsoft Sentinel,需要获取 Microsoft Sentinel 工作区所在订阅的参与者权限。 要使用 Microsoft Sentinel,你需要具有对工作区所属的资源组的参与者或读者权限。

创建和配置 Log Analytics 工作区

  1. 下一页“将 Microsoft Sentinel 添加到工作区”中将显示可添加 Azure Sentinel 的可用 Log Analytics 工作区列表。 选择“+ 创建新工作区”按钮,开始“创建 Log Analytics 工作区”的过程。

  2. “基本信息”选项卡中包括以下选项:

    选项 说明
    订阅 选择订阅
    资源组 选择或创建资源组
    “属性” “名称”是 Log Analytics 工作区的名称,也是 Microsoft Sentinel 工作区的名称
    区域 区域是存储日志数据的位置。

    重要

    “名称”是 Microsoft Sentinel 工作区的名称。 Microsoft Sentinel 名称默认为 Log Analytics 工作区名称。 “区域”是存储引入数据的位置。 数据位置会影响数据治理要求。 无法在区域间移动工作区;如果需要更改区域选项,需要重新创建工作区。

  3. 选择“查看 + 创建”按钮,然后选择“创建”按钮。

向工作区添加 Microsoft Sentinel

完成前面的步骤后,现在将显示“将 Microsoft Sentinel 添加到工作区”屏幕。

  1. 等待新创建的“Log Analytics 工作区”出现在列表中。 此操作可能需要几分钟时间。

  2. 选择新创建的 Log Analytics 工作区。 然后选择“添加”按钮。

此时,新的 Microsoft Sentinel 工作区是处于活动状态的屏幕。 Microsoft Sentinel 左侧导航栏包含四个区域:

  • 常规
  • 威胁管理
  • 内容管理
  • 配置

“概述”选项卡显示一个标准仪表板,该仪表板中显示有关引入数据、警报和事件的信息。

交互式实验室模拟

注意

选择缩略图来启动实验室模拟。 完成后,请务必返回到此页面,以便可以继续学习。

Screenshot of the lab simulation page.

Microsoft Sentinel 共享 Log Analytics 工作区

考虑到 Microsoft Sentinel 工作区使用 Log Analytics 工作区,你可以选择在其他解决方案使用的 Log Analytics 工作区中启用 Sentinel 工作区。 最常见的方案是共享 Microsoft Defender for Cloud 使用的 Log Analytics 工作区。 共享工作区使得一个中心工作区能够查询安全数据。

Microsoft Defender for Cloud

创建 Microsoft Sentinel 工作区时,不允许使用默认的 Microsoft Defender for Cloud Log Analytics 工作区。 需要手动创建 Log Analytics 工作区,然后更新 Microsoft Defender for Cloud 层。 现在,可以选择手动创建的 Log Analytics 工作区以与 Microsoft Defender for Cloud 配合使用。