快速入門：在 Microsoft Sentinel 上架

在本快速入門中，您將會啟用 Microsoft Sentinel，並從內容中樞安裝解決方案。 然後，您將會設定資料連接器，開始將資料擷取至 Microsoft Sentinel。

Microsoft Sentinel 隨附許多適用於 Microsoft 產品的資料連接器，例如 Microsoft Defender XDR 服務對服務連接器。 您也可以為非 Microsoft 產品啟用內建連接器，例如 Syslog 或 Common Event Format (CEF)。 在本快速入門中，您將會使用適用於 Microsoft Sentinel 的 Azure 活動解決方案中提供的 Azure 活動資料連接器。

若要使用 API 上線至 Microsoft Sentinel，請參閱最新支援的 Sentinel 上線狀態版本。

必要條件

• 作用中 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。

• Log Analytics 工作區。 了解如何建立 Log Analytics 工作區。 如需 Log Analytics 工作區的詳細資訊，請參閱設計您的 Azure 監視器記錄部署。

  您可能會在用於 Microsoft Sentinel 的 Log Analytics 工作區中，預設保留 30 天。 若要確定您可以使用所有 Microsoft Sentinel 功能和功能，請將保留期提高到 90 天。 在 Azure 監視器記錄中設定資料保留和封存原則。

• 權限：

  • 若要啟用 Microsoft Sentinel，您需要 Microsoft Sentinel 工作區所在訂用帳戶的參與者權限。

  • 若要使用 Microsoft Sentinel，您需要工作區所屬資源群組的 Microsoft Sentinel 參與者或 Microsoft Sentinel 讀者權限。

  • 若要在內容中樞安裝或管理解決方案，您需要工作區所屬資源群組的 Microsoft Sentinel 參與者角色。

• Azure Sentinel 是付費服務。 檢閱價格選項 和 Microsoft Sentinel 價格頁面。

• 將 Microsoft Sentinel 部署到實際執行環境之前，請先檢閱部署 Microsoft Sentinel 的預先部署活動和必要條件。

啟用 Microsoft Sentinel

若要開始使用，請將 Microsoft Sentinel 新增至現有的工作區，或建立新的工作區。

1. 登入 Azure 入口網站。

2. 搜尋並選取 [Microsoft Sentinel]。

   

3. 選取 建立。

4. 選取您想要使用的工作區，或建立一個新的工作區。 您可以在一個以上的工作區上執行 Microsoft Sentinel，但資料會隔離到單一工作區。

   

   • 適用於雲端的 Microsoft Defender 所建立的預設工作區不會顯示在清單中。 您無法在這些工作區上安裝 Microsoft Sentinel。
   • 在工作區上部署之後，Microsoft Sentinel 不支援將該工作區移至另一個資源群組或訂用帳戶。

5. 選取 [新增]。

從內容中樞安裝解決方案

Microsoft Sentinel 中的內容中樞是探索及管理現成可用內容 (包括資料連接器) 的集中式位置。 在本快速入門中，安裝適用於 Azure 活動的解決方案。

1. 在 Microsoft Sentinel 中，選取 [內容中樞]。

2. 尋找並選取 [Azure 活動] 解決方案。

   

3. 在頁面頂端的工具列上，選取 [安裝/更新]。

設定資料連接器

Azure Sentinel 藉由連線到服務並將事件和記錄轉送至 Azure Sentinel，從服務和應用程式擷取資料。 在本快速入門中，安裝資料連接器，以將 Azure 活動的資料轉送至 Microsoft Sentinel。

1. 在 Microsoft Sentinel 中，選取 [資料連接器]。

2. 搜尋並選取 [Azure 活動] 資料連接器。

3. 在連接器的詳細資料窗格中，選取 [開啟連接器] 頁面。

4. 檢閱設定連接器的指示。

5. 選取 [啟動 Azure 原則指派精靈]。

6. 在 [基本資料] 索引標籤上，將 [範圍] 設定為具有傳送至 Microsoft Sentinel 之活動的訂用帳戶和資源群組。 例如，選取包含您 Microsoft Sentinel 執行個體的訂用帳戶。

7. 選取參數索引標籤。

8. 設定主要 Log Analytics 工作區。 這應該是 Microsoft Sentinel 安裝所在的工作區。

9. 選取 [檢閱 + 建立]，然後選取 [建立]。

產生活動資料

讓我們藉由啟用適用於 Microsoft Sentinel 的 Azure 活動解決方案中包含的規則來產生一些活動資料。 此步驟也會示範如何在內容中樞管理內容。

1. 在 Microsoft Sentinel 中，選取 [內容中樞]。

2. 尋找並選取 [Azure 活動] 解決方案。

3. 從右側窗格中，選取 [管理]。

4. 尋找並選取規則範本可疑的資源部署。

5. 選取設定。

6. 選取規則及建立規則。

7. 在 [一般] 索引標籤上，將 [狀態] 變更為啟用。 其餘請保留預設值。

8. 接受其他索引標籤上的預設值。

9. 在 [檢閱及建立] 索引標籤中，選取 [建立]。

檢視擷取至 Microsoft Sentinel 的資料

現在您已啟用 Azure 活動資料連接器，並產生一些活動資料，讓我們檢視新增至工作區的活動資料。

1. 在 Microsoft Sentinel 中，選取 [資料連接器]。

2. 搜尋並選取 [Azure 活動] 資料連接器。

3. 在連接器的詳細資料窗格中，選取 [開啟連接器] 頁面。

4. 檢閱資料連接器的 [狀態]。 狀態應該是 [已連線]。

   

5. 在圖表上方的左側窗格中，選取 [移至記錄分析]。

6. 在窗格頂端的 [新增查詢 1] 索引標籤旁，選取 + 以新增查詢索引標籤。

7. 在查詢窗格中，執行下列查詢以檢視擷取到工作區的活動資料。

    AzureActivity
   

   

下一步

在本快速入門中，您已啟用 Microsoft Sentinel，並從內容中樞安裝解決方案。 然後，您會設定資料連接器，開始將資料擷取至 Microsoft Sentinel。 您也會藉由檢視工作區中的資料來確認資料正在擷取中。

• 若要使用儀表板和活頁簿將資料視覺化，請參閱將收集的資料視覺化。
• 若要使用分析規則偵測威脅，請參閱教學課程：在 Microsoft Sentinel 中使用分析規則偵測威脅。