Avvio rapido: Onboarding in Microsoft Azure Sentinel
In questa guida introduttiva si abiliterà Microsoft Sentinel e si installerà una soluzione dall'hub del contenuto. Si configurerà quindi un connettore dati per avviare l'inserimento dei dati in Microsoft Sentinel.
Microsoft Sentinel include molti connettori dati per prodotti Microsoft, ad esempio Il connettore da servizio a servizio di Microsoft Defender XDR. È anche possibile abilitare connettori predefiniti per prodotti non Microsoft, ad esempio Syslog o Common Event Format (CEF). Per questa guida introduttiva si userà il connettore dati attività di Azure disponibile nella soluzione Attività di Azure per Microsoft Sentinel.
Prerequisiti
Sottoscrizione di Azure attiva. Se non se ne dispone, creare un account gratuito prima di iniziare.
Area di lavoro Log Analytics. Informazioni su come creare un'area di lavoro Log Analytics. Per altre informazioni sulle aree di lavoro Log Analytics, vedere Progettazione della distribuzione dei log di Monitoraggio di Azure.
Potrebbe essere presente un periodo di conservazione predefinito di 30 giorni nell'area di lavoro Log Analytics usata per Microsoft Sentinel. Per assicurarsi di poter usare tutte le funzionalità e le funzionalità di Microsoft Sentinel, aumentare la conservazione a 90 giorni. Configurare i criteri di conservazione e archiviazione dei dati nei log di Monitoraggio di Azure.
Autorizzazioni:
Per abilitare Microsoft Sentinel, sono necessarie le autorizzazioni di collaboratore per la sottoscrizione in cui risiede l'area di lavoro di Microsoft Sentinel.
Per usare Microsoft Sentinel, è necessario disporre delle autorizzazioni collaboratore di Microsoft Sentinel o lettore di Microsoft Sentinel per il gruppo di risorse a cui appartiene l'area di lavoro.
Per installare o gestire soluzioni nell'hub del contenuto, è necessario il ruolo Collaboratore di Microsoft Sentinel nel gruppo di risorse a cui appartiene l'area di lavoro.
Microsoft Sentinel è un servizio a pagamento. Esaminare le opzioni dei prezzi e la pagina dei prezzi di Microsoft Sentinel.
Prima di distribuire Microsoft Sentinel in un ambiente di produzione, esaminare le attività di pre-distribuzione e i prerequisiti per la distribuzione di Microsoft Sentinel.
Abilitare Microsoft Sentinel
Per iniziare, aggiungere Microsoft Sentinel a un'area di lavoro esistente o crearne uno nuovo.
Accedere al portale di Azure.
Cercare e selezionare Microsoft Sentinel.
Seleziona Crea.
Selezionare l'area di lavoro da usare o crearne una nuova. È possibile eseguire Microsoft Sentinel in più di un'area di lavoro, ma i dati sono isolati in una singola area di lavoro.
- Le aree di lavoro predefinite create da Microsoft Defender per il cloud non vengono visualizzate nell'elenco. Non è possibile installare Microsoft Sentinel in queste aree di lavoro.
- Dopo la distribuzione in un'area di lavoro, Microsoft Sentinel non supporta lo spostamento dell'area di lavoro in un altro gruppo di risorse o in un'altra sottoscrizione.
Selezionare Aggiungi.
In alternativa all'uso del portale, è possibile eseguire l'onboarding in Microsoft Sentinel usando una richiesta API chiamando l'API ARM OnboardingStates.
Installare una soluzione dall'hub del contenuto
L'hub del contenuto in Microsoft Sentinel è la posizione centralizzata per individuare e gestire contenuti predefiniti, inclusi i connettori dati. Per questa guida introduttiva, installare la soluzione per l'attività di Azure.
In Microsoft Sentinel selezionare Hub contenuto.
Trovare e selezionare la soluzione Attività di Azure.
Nella barra degli strumenti nella parte superiore della pagina selezionare Installa/Aggiorna.
Configurare il connettore dati
Microsoft Sentinel inserisce dati da servizi e app connettendosi al servizio e inoltrando gli eventi e i log a Microsoft Sentinel. Per questa guida introduttiva, installare il connettore dati per inoltrare i dati per l'attività di Azure a Microsoft Sentinel.
In Microsoft Sentinel selezionare Connettori dati.
Cercare e selezionare il connettore dati attività di Azure.
Nel riquadro dei dettagli per il connettore selezionare Apri pagina connettore.
Esaminare le istruzioni per configurare il connettore.
Selezionare Avvia l'assegnazione guidata di Criteri di Azure.
Nella scheda Informazioni di base impostare Ambito sulla sottoscrizione e sul gruppo di risorse con attività da inviare a Microsoft Sentinel. Ad esempio, selezionare la sottoscrizione che contiene l'istanza di Microsoft Sentinel.
Seleziona la scheda Parametri.
Impostare l'area di lavoro Log Analytics primaria. Deve trattarsi dell'area di lavoro in cui è installato Microsoft Sentinel.
Selezionare Rivedi e crea e quindi Crea.
Generare i dati dell'attività
Verranno ora generati alcuni dati di attività abilitando una regola inclusa nella soluzione Attività di Azure per Microsoft Sentinel. Questo passaggio illustra anche come gestire il contenuto nell'hub del contenuto.
In Microsoft Sentinel selezionare Hub contenuto.
Trovare e selezionare la soluzione Attività di Azure.
Nel riquadro laterale destro selezionare Gestisci.
Trovare e selezionare il modello di regola Distribuzione di risorse sospette.
Seleziona Configurazione.
Selezionare la regola e Crea regola.
Nella scheda Generale modificare lo stato in abilitato. Lasciare invariati i valori predefiniti.
Accettare le impostazioni predefinite nelle altre schede.
Nella scheda Rivedi e crea selezionare Crea.
Visualizzare i dati inseriti in Microsoft Sentinel
Dopo aver abilitato il connettore dati attività di Azure e aver generato alcuni dati di attività, è possibile visualizzare i dati delle attività aggiunti all'area di lavoro.
In Microsoft Sentinel selezionare Connettori dati.
Cercare e selezionare il connettore dati attività di Azure.
Nel riquadro dei dettagli per il connettore selezionare Apri pagina connettore.
Esaminare lo stato del connettore dati. Deve essere Connessione.
Nel riquadro laterale sinistro sopra il grafico selezionare Vai a Log Analytics.
Nella parte superiore del riquadro, accanto alla scheda Nuova query 1 , selezionare la + scheda per aggiungere una nuova query.
Nel riquadro query eseguire la query seguente per visualizzare la data di attività inserita nell'area di lavoro.
AzureActivity
Passaggi successivi
In questa guida introduttiva è stato abilitato Microsoft Sentinel e è stata installata una soluzione dall'hub del contenuto. Configurare quindi un connettore dati per avviare l'inserimento di dati in Microsoft Sentinel. È stato anche verificato che i dati vengano inseriti visualizzando i dati nell'area di lavoro.
- Per visualizzare i dati raccolti usando i dashboard e le cartelle di lavoro, vedere Visualizzare i dati raccolti.
- Per rilevare le minacce usando le regole di analisi, vedere Esercitazione: Rilevare le minacce usando le regole di analisi in Microsoft Sentinel.