快速入門:在 Microsoft Sentinel 上架
在本快速入門中,您將啟用 Microsoft Sentinel,並從內容中樞安裝解決方案。 然後,您將設定數據連接器,開始將數據內嵌至 Microsoft Sentinel。
Microsoft Sentinel 隨附許多 Microsoft 產品的數據連接器,例如 Microsoft Defender 全面偵測回應 服務對服務連接器。 您也可以為非 Microsoft 產品啟用內建連接器,例如 Syslog 或 Common Event Format (CEF)。 在本快速入門中,您將使用適用於 Microsoft Sentinel 的 Azure 活動解決方案中提供的 Azure 活動數據連接器。
必要條件
作用中的 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
Log Analytics 工作區。 了解如何建立 Log Analytics 工作區。 如需 Log Analytics 工作區的詳細資訊,請參閱設計您的 Azure 監視器記錄部署。
您可能在用於 Microsoft Sentinel 的 Log Analytics 工作區中,預設 會保留 30 天。 若要確定您可以使用所有 Microsoft Sentinel 功能和功能,請將保留期提高到 90 天。 在 Azure 監視器記錄中設定數據保留和封存原則。
權限:
若要啟用 Microsoft Sentinel,您需要 Microsoft Sentinel 工作區所在訂用帳戶的參與者 許可權。
若要使用 Microsoft Sentinel,您需要 工作區所屬資源群組的 Microsoft Sentinel 參與者 或 Microsoft Sentinel 讀者 許可權。
若要在內容中樞安裝或管理解決方案,您需要 工作區所屬資源群組上的 Microsoft Sentinel 參與者 角色。
Microsoft Sentinel 是付費服務。 檢閱 定價選項 和 Microsoft Sentinel 定價頁面。
將 Microsoft Sentinel 部署到生產環境之前,請先檢閱 部署 Microsoft Sentinel 的預先部署活動和必要條件。
啟用 Microsoft Sentinel
若要開始使用,請將 Microsoft Sentinel 新增至現有的工作區,或建立新的工作區。
登入 Azure 入口網站。
搜尋並選取 [Microsoft Sentinel]。
選取 建立。
選取您想要使用的工作區,或建立新的工作區。 您可以在一個以上的工作區上執行 Microsoft Sentinel,但資料會隔離到單一工作區。
- 適用於雲端的 Microsoft Defender 所建立的預設工作區不會顯示在清單中。 您無法在這些工作區上安裝 Microsoft Sentinel。
- 在工作區上部署之後,Microsoft Sentinel 不支援 將該工作區移至另一個資源群組或訂用帳戶。
選取 [新增]。
除了使用入口網站,您也可以藉由呼叫 OnboardingStates ARM API,使用 API 要求上線至 Microsoft Sentinel。
從內容中樞安裝解決方案
Microsoft Sentinel 中的內容中樞是探索及管理現用內容,包括數據連接器的集中式位置。 在本快速入門中,請安裝適用於 Azure 活動的解決方案。
在 Microsoft Sentinel 中,選取 [內容中樞]。
尋找並選取 Azure 活動 解決方案。
在頁面頂端的工具列上,選取 [安裝/更新]。
設定數據連接器
Microsoft Sentinel 會藉由連線至服務,並將事件和記錄轉送至 Microsoft Sentinel,從服務和應用程式擷取數據。 在本快速入門中,請安裝數據連接器,以將 Azure 活動的數據轉送至 Microsoft Sentinel。
在 Microsoft Sentinel 中,選取 [數據連接器]。
搜尋並選取 Azure 活動 資料連接器。
在連接器的詳細資料窗格中,選取 [ 開啟連接器] 頁面。
檢閱設定連接器的指示。
選取 [啟動 Azure 原則 指派精靈]。
在 [ 基本] 索引 標籤上,將 [ 範圍 ] 設定為具有活動要傳送至 Microsoft Sentinel 的訂用帳戶和資源群組。 例如,選取包含 Microsoft Sentinel 實例的訂用帳戶。
選取參數索引標籤。
設定主要 Log Analytics工作區。 這應該是安裝 Microsoft Sentinel 的工作區。
選取 [檢閱 + 建立],然後選取 [建立]。
產生活動數據
讓我們啟用 Microsoft Sentinel 的 Azure 活動解決方案中包含的規則,以產生一些活動數據。 此步驟也會示範如何在內容中樞管理內容。
在 Microsoft Sentinel 中,選取 [內容中樞]。
尋找並選取 Azure 活動 解決方案。
從右側窗格中,選取 [ 管理]。
尋找並選取規則範本 可疑資源部署。
選取設定。
選取規則並 建立規則。
在 [ 一般] 索引標籤上,將 [ 狀態 ] 變更為 [已啟用]。 保留其餘的預設值。
接受其他索引標籤上的預設值。
在 [ 檢閱和建立] 索引卷標上,選取 [ 建立]。
檢視內嵌至 Microsoft Sentinel 的數據
現在您已啟用 Azure 活動資料連接器,併產生一些活動數據,讓我們檢視新增至工作區的活動數據。
在 Microsoft Sentinel 中,選取 [數據連接器]。
搜尋並選取 Azure 活動 資料連接器。
在連接器的詳細資料窗格中,選取 [ 開啟連接器] 頁面。
檢閱 數據連接器的狀態 。 它應該 連線。
在圖表上方的左側窗格中,選取 [移至記錄分析]。
在窗格頂端的 [新增查詢 1] 索引標籤旁,選取 + 以新增查詢索引卷標。
在查詢窗格中,執行下列查詢,以檢視內嵌到工作區的活動日期。
AzureActivity
下一步
在本快速入門中,您已啟用 Microsoft Sentinel,並從內容中樞安裝解決方案。 然後,您設定數據連接器以開始將數據內嵌至 Microsoft Sentinel。 您也藉由檢視工作區中的數據來確認數據正在擷取中。
- 若要使用儀錶板和活頁簿將數據可視化,請參閱 將數據可視化。
- 若要使用分析規則來偵測威脅,請參閱 教學課程:在 Microsoft Sentinel 中使用分析規則偵測威脅。