Szybki start: dołączanie usługi Microsoft Sentinel

  • Artykuł

W tym przewodniku Szybki start włączysz usługę Microsoft Sentinel i zainstalujesz rozwiązanie z centrum zawartości. Następnie skonfigurujesz łącznik danych, aby rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel.

Usługa Microsoft Sentinel zawiera wiele łączników danych dla produktów firmy Microsoft, takich jak łącznik usługi XDR usługi Microsoft Defender do usługi. Możesz również włączyć wbudowane łączniki dla produktów innych niż Microsoft, takich jak Syslog lub Common Event Format (CEF). W tym przewodniku Szybki start użyjesz łącznika danych aktywności platformy Azure dostępnego w rozwiązaniu aktywność platformy Azure dla usługi Microsoft Sentinel.

Wymagania wstępne

  • Aktywna subskrypcja platformy Azure. Jeśli nie masz subskrypcji, przed rozpoczęciem utwórz bezpłatne konto.

  • Obszar roboczy usługi Log Analytics. Dowiedz się, jak utworzyć obszar roboczy usługi Log Analytics. Aby uzyskać więcej informacji na temat obszarów roboczych usługi Log Analytics, zobacz Projektowanie wdrożenia dzienników usługi Azure Monitor.

    W obszarze roboczym usługi Log Analytics używanym dla usługi Microsoft Sentinel może być domyślnie przechowywana wartość 30 dni . Aby upewnić się, że możesz używać wszystkich funkcji i funkcji usługi Microsoft Sentinel, należy podnieść okres przechowywania do 90 dni. Konfigurowanie zasad przechowywania i archiwizowania danych w dziennikach usługi Azure Monitor.

  • Uprawnienia:

    • Aby włączyć usługę Microsoft Sentinel, musisz mieć uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy usługi Microsoft Sentinel.

    • Aby korzystać z usługi Microsoft Sentinel, musisz mieć uprawnienia współautora usługi Microsoft Sentinel lub czytelnika usługi Microsoft Sentinel w grupie zasobów, do której należy obszar roboczy.

    • Aby zainstalować rozwiązania w centrum zawartości lub zarządzać nimi, potrzebna jest rola Współautor usługi Microsoft Sentinel w grupie zasobów, do której należy obszar roboczy.

  • Microsoft Sentinel to płatna usługa. Przejrzyj opcje cennika i stronę cennika usługi Microsoft Sentinel.

  • Przed wdrożeniem usługi Microsoft Sentinel w środowisku produkcyjnym zapoznaj się z działaniami przed wdrożeniem i wymaganiami wstępnymi dotyczącymi wdrażania usługi Microsoft Sentinel.

Włączanie usługi Microsoft Sentinel

Aby rozpocząć, dodaj usługę Microsoft Sentinel do istniejącego obszaru roboczego lub utwórz nowy.

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Microsoft Sentinel.

    Zrzut ekranu przedstawiający wyszukiwanie usługi podczas włączania usługi Microsoft Sentinel.

  3. Wybierz pozycję Utwórz.

  4. Wybierz obszar roboczy, którego chcesz użyć, lub utwórz nowy. Usługę Microsoft Sentinel można uruchomić w więcej niż jednym obszarze roboczym, ale dane są izolowane do jednego obszaru roboczego.

    Zrzut ekranu przedstawiający wybieranie obszaru roboczego podczas włączania usługi Microsoft Sentinel.

    • Domyślne obszary robocze utworzone przez Microsoft Defender dla Chmury nie są wyświetlane na liście. Nie można zainstalować usługi Microsoft Sentinel w tych obszarach roboczych.
    • Po wdrożeniu w obszarze roboczym usługa Microsoft Sentinel nie obsługuje przenoszenia tego obszaru roboczego do innej grupy zasobów ani subskrypcji.

  5. Wybierz Dodaj.

Alternatywą dla korzystania z portalu jest dołączanie do usługi Microsoft Sentinel przy użyciu żądania interfejsu API przez wywołanie interfejsu API Api OnboardingStates usługi ARM.

Instalowanie rozwiązania z centrum zawartości

Centrum zawartości w usłudze Microsoft Sentinel to scentralizowana lokalizacja do odnajdywania gotowej zawartości i zarządzania nią, w tym łączników danych. Na potrzeby tego przewodnika Szybki start zainstaluj rozwiązanie dla działania platformy Azure.

  1. W usłudze Microsoft Sentinel wybierz pozycję Centrum zawartości.

  2. Znajdź i wybierz rozwiązanie Działania platformy Azure.

    Zrzut ekranu przedstawiający centrum zawartości z wybranym rozwiązaniem dla działania platformy Azure.

  3. Na pasku narzędzi w górnej części strony wybierz pozycję Zainstaluj/Aktualizuj.

Konfigurowanie łącznika danych

Usługa Microsoft Sentinel pozyskuje dane z usług i aplikacji, łącząc się z usługą i przekazując zdarzenia i dzienniki do usługi Microsoft Sentinel. Na potrzeby tego przewodnika Szybki start zainstaluj łącznik danych, aby przekazywać dane dla działania platformy Azure do usługi Microsoft Sentinel.

  1. W usłudze Microsoft Sentinel wybierz pozycję Łączniki danych.

  2. Wyszukaj i wybierz łącznik danych aktywności platformy Azure.

  3. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.

  4. Przejrzyj instrukcje konfigurowania łącznika.

  5. Wybierz pozycję Uruchom Kreatora przypisania usługi Azure Policy.

  6. Na karcie Podstawy ustaw pozycję Zakres na subskrypcję i grupę zasobów, która ma działanie do wysłania do usługi Microsoft Sentinel. Na przykład wybierz subskrypcję zawierającą wystąpienie usługi Microsoft Sentinel.

  7. Wybierz kartę Parametry.

  8. Ustaw podstawowy obszar roboczy usługi Log Analytics. Powinien to być obszar roboczy, w którym zainstalowano usługę Microsoft Sentinel.

  9. Wybierz pozycję Przeglądanie + tworzenie i pozycję Utwórz.

Generowanie danych działań

Wygenerujmy dane aktywności, włączając regułę, która została uwzględniona w rozwiązaniu Działania platformy Azure dla usługi Microsoft Sentinel. W tym kroku pokazano również, jak zarządzać zawartością w centrum zawartości.

  1. W usłudze Microsoft Sentinel wybierz pozycję Centrum zawartości.

  2. Znajdź i wybierz rozwiązanie Działania platformy Azure.

  3. W okienku po prawej stronie wybierz pozycję Zarządzaj.

  4. Znajdź i wybierz szablon reguły Podejrzane wdrożenie zasobów.

  5. Wybierz pozycję Konfiguracja.

  6. Wybierz regułę i utwórz regułę.

  7. Na karcie Ogólne zmień ustawienie Stan na włączone. Pozostaw pozostałe wartości domyślne.

  8. Zaakceptuj wartości domyślne na innych kartach.

  9. Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.

Wyświetlanie danych pozyskanych do usługi Microsoft Sentinel

Po włączeniu łącznika danych aktywności platformy Azure i wygenerowaniu niektórych danych działań wyświetlmy dane działań dodane do obszaru roboczego.

  1. W usłudze Microsoft Sentinel wybierz pozycję Łączniki danych.

  2. Wyszukaj i wybierz łącznik danych aktywności platformy Azure.

  3. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.

  4. Przejrzyj stan łącznika danych. Powinien zostać Połączenie.

    Zrzut ekranu przedstawiający łącznik danych dla działania platformy Azure ze stanem wyświetlanym jako połączony.

  5. W okienku po lewej stronie nad wykresem wybierz pozycję Przejdź do analizy dzienników.

  6. W górnej części okienka obok karty Nowe zapytanie 1 wybierz + kartę , aby dodać nową kartę zapytania.

  7. W okienku zapytania uruchom następujące zapytanie, aby wyświetlić datę działania pozyskaną do obszaru roboczego.

     AzureActivity

    Zrzut ekranu przedstawiający okno zapytania dziennika z wynikami zwróconymi dla zapytania aktywności platformy Azure.

Następne kroki

W tym przewodniku Szybki start włączono usługę Microsoft Sentinel i zainstalowano rozwiązanie z centrum zawartości. Następnie skonfigurujesz łącznik danych, aby rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel. Sprawdzono również, że dane są pozyskiwane, wyświetlając dane w obszarze roboczym.