本文說明如何利用診斷設定的連線連接 Microsoft Sentinel。 Microsoft Sentinel 利用 Azure 基礎,提供內建的服務對服務支援,支援來自許多 Azure 與 Microsoft 365 服務、Amazon Web Services 以及各種 Windows Server 服務的資料擷取。 有一些不同的方法,這些連接是透過這些方法建立的。
本文提供使用診斷設定型連線的資料連接器群組通用的資訊。 其中一些連接器是透過 Azure Policy 來管理的。 針對此類型的其他連接器,請使用單獨說明。
注意
有關美國政府雲端中功能可用性的資訊,請參閱美國政府客戶雲端功能可用性中的 Microsoft Sentinel 表格。
必要條件
若要使用獨立的診斷設定連接器將資料匯入 Microsoft Sentinel,您必須在 Microsoft Sentinel 的 Log Analytics 工作空間上啟用讀寫權限。
若要使用由 Azure Policy 管理的診斷設定連接器將資料導入 Microsoft Sentinel,你還必須具備以下先決條件:
若要使用 Azure Policy 對資源套用日誌串流政策,您必須在政策指派範圍內擁有擁有者角色。
下列必要條件,視您使用的連接器而定:
資料連接器 授權、成本和其他資訊 Azure 活動 此連接器現在會使用診斷設定管線。 如果你使用舊有方法,必須先從舊有方法中斷開現有訂閱,才能設定新的 Azure 活動日誌連接器。
1. 從Microsoft Sentinel導覽選單中,選擇Data connectors。 從連接器清單中,選擇 Azure Activity,然後在右下角選擇 Open 連接器頁面按鈕。
2. 在 「說明 」標籤的 設定 區,步驟 1 中,檢視你現有與舊有方法連結的訂閱清單,並點擊下方的 「全部斷開」 按鈕,一次解除所有訂閱。
3.使用本節中的指示繼續設定新的連接器。Azure DDoS 防護 - 已設定 Azure DDoS 標準防護計畫。
- 已設定虛擬網路,啟用 Azure DDoS 標準
- 可能會產生其他費用
- Status 用於Azure DDoS 保護資料連接器,僅在受保護資源遭受 DDoS 攻擊時,才會改為 Connected。Azure Storage 帳戶 每一種儲存體類型:檔案、資料表、佇列和 Blob 的儲存體帳戶 (父系) 資源包含其他 (子系) 資源。
在為儲存帳號設定診斷時,您必須選擇並設定:
- 父帳戶資源,匯出 交易 指標。
- 每個子系儲存體類型資源都會匯出所有記錄和指標。
您只會看到您實際已定義資源的記憶體類型。
透過獨立診斷設定型連接器進行連線
此程序描述如何使用基於診斷設定的獨立資料連接器來連接至 Microsoft Sentinel。
從Microsoft Sentinel導覽選單中,選擇Data connectors。
從資料連接器圖庫中選擇你的資源類型,然後在預覽面板中選擇 「開啟連接器頁面 」。
在連接器頁面的 設定 區塊,選擇連結以開啟資源設定頁面。
如果顯示您所需類型的資源清單,請選取要匯入記錄的資源連結。
從資源導覽選單中,選擇 診斷設定。
在清單底部選擇 + 新增診斷設定 。
在 診斷設定 畫面,請在 診斷設定名稱 欄位輸入一個名稱。
標記傳送至記錄分析核取方塊。 其下方會顯示兩個新的欄位。 請選擇相關的 Subscription 以及 Log Analytics Workspace(即 Microsoft Sentinel 所在的位置)。
請勾選您想要收集的日誌和指標類型的核取方塊。 請參閱 資料連接器參考 頁面中資源的連接器所屬章節,查看我們對每種資源類型的推薦選擇。
選取畫面頂部的儲存。
更多資訊,請參閱Azure Monitor文件中的建立診斷設定,將平台日誌與指標Azure Monitor傳送至不同目的地。
通過 Azure Policy 管理的診斷設定為基礎的連接器進行連接
此程序說明如何使用基於診斷設定且由 Azure Policy 管理的資料連接器連接 Microsoft Sentinel。
此類連接器使用 Azure Policy 將單一診斷設定配置套用到定義為範圍的單一類型資源集合。 你可以在該資源的連接器頁面左側,在 資料型別中看到從某一資源類型匯入的日誌類型。
從Microsoft Sentinel導覽選單中,選擇Data connectors。
從資料連接器圖庫中選擇你的資源類型,然後在預覽面板中選擇 「開啟連接器頁面 」。
在連接器頁面的 Configuration 區塊中,展開你看到的任何擴展器,並選擇 Launch Azure Policy Assignment wizard 按鈕。
原則指派精靈隨即開啟,準備好建立新的原則,並預先填入原則名稱。
在 基礎 標籤中,選擇 範圍下方三個 點的按鈕,選擇訂閱(以及可選的資源群組)。 您也可以新增描述。
在 參數 索引標籤中:
- 清除 「只顯示需要輸入的參數 」勾選框。
- 如果你看到 效果 和 設定名稱 欄位,就保持原樣。
- 從 Log Analytics workspace 下拉選單中選擇你的Microsoft Sentinel工作區。
- 剩餘下拉式欄位代表可用的診斷記錄類型。 將你想接收的所有日誌類型都標記為 True 。
原則將會套用至未來新增的資源。 若要將政策套用於現有資源,請選擇「 修復」 標籤,並勾選 「建立修復任務 」的核取方塊。
在 「評論+建立 」標籤中,點擊 「建立」。 您的原則現在已指派給您選擇的範圍。
此類資料連接器的連接狀態指示器(資料連接器圖庫中的彩色條紋及資料類型名稱旁的連接圖示)僅在過去 14 天內被資料匯入時顯示為 已連線 (綠色)。 一旦經過 14 天且沒有數據擷取,連接器會顯示為已中斷連線。 一旦有更多資料進來, 連線 狀態就會恢復。
你可以使用 資料連接器參考 頁面中該資源連接器章節中出現的資料表名稱,找到並查詢每種資源類型的資料。 欲了解更多資訊,請參閱Azure Monitor文件中的建立診斷設定,將平台日誌與指標Azure Monitor傳送至不同目的地。
相關內容
如需詳細資訊,請參閱