快速入門:在 Microsoft Sentinel 上架

在本快速入門中,您將啟用 Microsoft Sentinel,並從內容中樞安裝解決方案。 然後,您將設定數據連接器,開始將數據內嵌至 Microsoft Sentinel。

Microsoft Sentinel 隨附許多 Microsoft 產品的數據連接器,例如 Microsoft Defender 全面偵測回應 服務對服務連接器。 您也可以為非 Microsoft 產品啟用內建連接器,例如 Syslog 或 Common Event Format (CEF)。 在本快速入門中,您將使用適用於 Microsoft Sentinel 的 Azure 活動解決方案中提供的 Azure 活動數據連接器。

必要條件

  • 作用中的 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

  • Log Analytics 工作區。 了解如何建立 Log Analytics 工作區。 如需 Log Analytics 工作區的詳細資訊,請參閱設計您的 Azure 監視器記錄部署

    您可能在用於 Microsoft Sentinel 的 Log Analytics 工作區中,預設 會保留 30 天。 若要確定您可以使用所有 Microsoft Sentinel 功能和功能,請將保留期提高到 90 天。 在 Azure 監視器記錄中設定數據保留和封存原則。

  • 權限:

    • 若要啟用 Microsoft Sentinel,您需要 Microsoft Sentinel 工作區所在訂用帳戶的參與者 許可權。

    • 若要使用 Microsoft Sentinel,您需要 工作區所屬資源群組的 Microsoft Sentinel 參與者Microsoft Sentinel 讀者 許可權。

    • 若要在內容中樞安裝或管理解決方案,您需要 工作區所屬資源群組上的 Microsoft Sentinel 參與者 角色。

  • Microsoft Sentinel 是付費服務。 檢閱 定價選項Microsoft Sentinel 定價頁面

  • 將 Microsoft Sentinel 部署到生產環境之前,請先檢閱 部署 Microsoft Sentinel 的預先部署活動和必要條件。

啟用 Microsoft Sentinel

若要開始使用,請將 Microsoft Sentinel 新增至現有的工作區,或建立新的工作區。

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [Microsoft Sentinel]

    啟用 Microsoft Sentinel 時搜尋服務的螢幕快照。

  3. 選取 建立

  4. 選取您想要使用的工作區,或建立新的工作區。 您可以在一個以上的工作區上執行 Microsoft Sentinel,但資料會隔離到單一工作區。

    啟用 Microsoft Sentinel 時選擇工作區的螢幕快照。

    • 適用於雲端的 Microsoft Defender 所建立的預設工作區不會顯示在清單中。 您無法在這些工作區上安裝 Microsoft Sentinel。
    • 在工作區上部署之後,Microsoft Sentinel 不支援 將該工作區移至另一個資源群組或訂用帳戶。
  5. 選取 [新增]。

除了使用入口網站,您也可以藉由呼叫 OnboardingStates ARM API,使用 API 要求上線至 Microsoft Sentinel。

從內容中樞安裝解決方案

Microsoft Sentinel 中的內容中樞是探索及管理現用內容,包括數據連接器的集中式位置。 在本快速入門中,請安裝適用於 Azure 活動的解決方案。

  1. 在 Microsoft Sentinel 中,選取 [內容中樞]。

  2. 尋找並選取 Azure 活動 解決方案。

    已選取 Azure 活動解決方案的內容中樞螢幕快照。

  3. 在頁面頂端的工具列上,選取 [安裝/更新]。

設定數據連接器

Microsoft Sentinel 會藉由連線至服務,並將事件和記錄轉送至 Microsoft Sentinel,從服務和應用程式擷取數據。 在本快速入門中,請安裝數據連接器,以將 Azure 活動的數據轉送至 Microsoft Sentinel。

  1. 在 Microsoft Sentinel 中,選取 [數據連接器]。

  2. 搜尋並選取 Azure 活動 資料連接器。

  3. 在連接器的詳細資料窗格中,選取 [ 開啟連接器] 頁面

  4. 檢閱設定連接器的指示。

  5. 選取 [啟動 Azure 原則 指派精靈]。

  6. 在 [ 基本] 索引 標籤上,將 [ 範圍 ] 設定為具有活動要傳送至 Microsoft Sentinel 的訂用帳戶和資源群組。 例如,選取包含 Microsoft Sentinel 實例的訂用帳戶。

  7. 選取參數索引標籤。

  8. 設定主要 Log Analytics工作區。 這應該是安裝 Microsoft Sentinel 的工作區。

  9. 選取 [檢閱 + 建立],然後選取 [建立]

產生活動數據

讓我們啟用 Microsoft Sentinel 的 Azure 活動解決方案中包含的規則,以產生一些活動數據。 此步驟也會示範如何在內容中樞管理內容。

  1. 在 Microsoft Sentinel 中,選取 [內容中樞]。

  2. 尋找並選取 Azure 活動 解決方案。

  3. 從右側窗格中,選取 [ 管理]。

  4. 尋找並選取規則範本 可疑資源部署

  5. 選取設定

  6. 選取規則並 建立規則

  7. 在 [ 一般] 索引標籤上,將 [ 狀態 ] 變更為 [已啟用]。 保留其餘的預設值。

  8. 接受其他索引標籤上的預設值。

  9. 在 [ 檢閱和建立] 索引卷標上,選取 [ 建立]。

檢視內嵌至 Microsoft Sentinel 的數據

現在您已啟用 Azure 活動資料連接器,併產生一些活動數據,讓我們檢視新增至工作區的活動數據。

  1. 在 Microsoft Sentinel 中,選取 [數據連接器]。

  2. 搜尋並選取 Azure 活動 資料連接器。

  3. 在連接器的詳細資料窗格中,選取 [ 開啟連接器] 頁面

  4. 檢閱 數據連接器的狀態 。 它應該 連線

    Azure 活動數據連接器的螢幕快照,其狀態顯示為已連線。

  5. 在圖表上方的左側窗格中,選取 [移至記錄分析]。

  6. 在窗格頂端的 [新增查詢 1] 索引標籤旁,選取 + 以新增查詢索引卷標。

  7. 在查詢窗格中,執行下列查詢,以檢視內嵌到工作區的活動日期。

     AzureActivity
    

    記錄查詢視窗的螢幕快照,其中會傳回 Azure 活動查詢的結果。

下一步

在本快速入門中,您已啟用 Microsoft Sentinel,並從內容中樞安裝解決方案。 然後,您設定數據連接器以開始將數據內嵌至 Microsoft Sentinel。 您也藉由檢視工作區中的數據來確認數據正在擷取中。