Upravit

Monitorování hybridního zabezpečení pomocí Microsoft Defenderu pro cloud a Microsoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

Tato referenční architektura ukazuje, jak pomocí programu Microsoft Defender for Cloud a Microsoft Sentinel monitorovat konfiguraci zabezpečení a telemetrii místních úloh, Azure a Azure Stack.

Architektura

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

  • Microsoft Defender for Cloud. Jedná se o pokročilou jednotnou platformu pro správu zabezpečení, kterou Microsoft nabízí všem předplatitelům Azure. Defender for Cloud je segmentovaný jako správa stavu zabezpečení cloudu (CSPM) a platforma ochrany cloudových úloh (CWPP). CWPP je definována řešeními ochrany zabezpečení zaměřenou na úlohy, která jsou obvykle založená na agentech. Microsoft Defender for Cloud poskytuje ochranu před hrozbami pro úlohy Azure, a to jak místně, tak i v jiných cloudech, včetně virtuálních počítačů s Windows a Linuxem, kontejnerů, databází a Internetu věcí (IoT). Po aktivaci se agent Log Analytics automaticky nasadí do služby Azure Virtual Machines. U místních serverů a virtuálních počítačů s Windows a Linuxem můžete agenta nasadit ručně, použít nástroj pro nasazení vaší organizace, například Microsoft Endpoint Protection Manager, nebo použít skriptované metody nasazení. Defender for Cloud začne vyhodnocovat stav zabezpečení všech vašich virtuálních počítačů, sítí, aplikací a dat.
  • Microsoft Sentinel. Je řešení automatizované reakce (SOAR) a automatizované reakce (SOAR) nativní pro cloudovou správu informací a událostí (SIEM), které využívá pokročilou analýzu AI a zabezpečení, které vám pomůžou detekovat, proaktivně hledat, bránit hrozbám v celém podniku a reagovat na ně.
  • Azure Stack. Je portfolio produktů, které rozšiřují služby a možnosti Azure pro vaše prostředí podle vašeho výběru, včetně datacentra, hraničních lokalit a vzdálených poboček. Implementace služby Azure Stack obvykle využívají racky ze čtyř až šestnácti serverů vytvořených důvěryhodnými hardwarovými partnery a doručují se do vašeho datacentra.
  • Azure Monitor Shromažďuje telemetrii monitorování z různých místních zdrojů a zdrojů Azure. Nástroje pro správu, jako jsou nástroje microsoft Defenderu pro cloud a Azure Automation, také odsílají data protokolů do služby Azure Monitor.
  • Pracovní prostor služby Log Analytics Azure Monitor ukládá data protokolů do pracovního prostoru služby Log Analytics, což je kontejner, který obsahuje data a informace o konfiguraci.
  • Agent Log Analytics Agent Log Analytics shromažďuje data monitorování z hostovaného operačního systému a úloh virtuálních počítačů v Azure, od jiných poskytovatelů cloudu a z místního prostředí. Agent Log Analytics podporuje konfiguraci proxy serveru a v tomto scénáři brána Microsoft Operations Management Suite (OMS) funguje jako proxy server.
  • Místní síť: Toto je brána firewall nakonfigurovaná tak, aby podporovala odchozí přenosy HTTPS z definovaných systémů.
  • Místní systémy Windows a Linux. Systémy s nainstalovaným agentem Log Analytics.
  • Virtuální počítače Azure s Windows a Linuxem Systémy, na kterých je nainstalovaný agent monitorování cloudu v programu Microsoft Defender for Cloud.

Komponenty

Podrobnosti scénáře

Potenciální případy použití

Obvyklá využití pro tuto architekturu:

  • Osvědčené postupy pro integraci místního monitorování zabezpečení a telemetrie s úlohami založenými na Azure
  • Integrace Microsoft Defenderu pro cloud se službou Azure Stack
  • Integrace Microsoft Defenderu pro cloud s Microsoft Sentinelem

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Upgrade Microsoft Defenderu pro cloud

Tato referenční architektura využívá Microsoft Defender for Cloud k monitorování místních systémů, virtuálních počítačů Azure, prostředků Azure Monitoru a dokonce virtuálních počítačů hostovaných jinými poskytovateli cloudu. Podrobnosti o cenách za Microsoft Defender for Cloud najdete tady.

Přizpůsobený pracovní prostor služby Log Analytics

Microsoft Sentinel potřebuje přístup k pracovnímu prostoru služby Log Analytics. V tomto scénáři nemůžete použít výchozí pracovní prostor Defenderu pro Cloud Log Analytics s Microsoft Sentinelem. Místo toho vytvoříte přizpůsobený pracovní prostor. Uchovávání dat pro přizpůsobený pracovní prostor je založené na cenové úrovni pracovního prostoru a tady najdete cenové modely pro protokoly monitorování.

Poznámka:

Microsoft Sentinel může běžet v pracovních prostorech v libovolné oblasti obecné dostupnosti (GA) služby Log Analytics s výjimkou oblastí Čína a Německo (suverénní). Data, která Microsoft Sentinel generuje, jako jsou incidenty, záložky a pravidla upozornění, která můžou obsahovat některá zákaznická data z těchto pracovních prostorů, se ukládají v Evropě (pro pracovní prostory založené na Evropě), v Austrálii (pro pracovní prostory založené na Austrálii) nebo v oblasti USA – východ (pro pracovní prostory umístěné v jakékoli jiné oblasti).

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

Zásady zabezpečení definují sadu ovládacích prvků, které se doporučují pro prostředky v rámci zadaného předplatného. V programu Microsoft Defender for Cloud definujete zásady pro předplatná Azure podle požadavků na zabezpečení vaší společnosti a typu aplikací nebo citlivosti dat pro každé předplatné.

Zásady zabezpečení, které povolíte v programu Microsoft Defender for Cloud, vám umožní doporučení k zabezpečení a monitorování. Další informace ozásadách Zásady zabezpečení můžete v Programu Microsoft Defender for Cloud přiřadit jenom na úrovni správy nebo skupiny předplatných.

Poznámka:

Část jedné z referenčních architektur podrobně popisuje, jak povolit Microsoft Defenderu pro cloud monitorování prostředků Azure, místních systémů a systémů Azure Stack.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

Jak jsme už popsali dříve, náklady nad rámec předplatného Azure můžou zahrnovat:

  1. Náklady na Microsoft Defender for Cloud Další informace najdete v defenderu pro ceny cloudu.
  2. Pracovní prostor Služby Azure Monitor nabízí členitost fakturace. Další informace najdete v tématu Správa využití a nákladů pomocí protokolů služby Azure Monitor.
  3. Microsoft Sentinel je placená služba. Další informace najdete v tématu o cenách služby Microsoft Sentinel.

Provozní dokonalost

Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.

Role Microsoft Defenderu pro cloud

Defender for Cloud vyhodnocuje konfiguraci vašich prostředků za účelem identifikace problémů zabezpečení a ohrožení zabezpečení a zobrazuje informace související s prostředkem, pokud máte přiřazenou roli vlastníka, přispěvatele nebo čtenáře předplatného nebo skupiny prostředků, do které prostředek patří.

Kromě těchtorolích

  • Čtenář zabezpečení. Uživatel, který patří do této role, má práva jen pro čtení pro Defender for Cloud. Uživatel může sledovat doporučení, výstrahy, zásady zabezpečení a stavy zabezpečení, ale nemůže provádět změny.

  • Správa zabezpečení. Uživatel, který patří do této role, má stejná práva jako čtenář zabezpečení a může také aktualizovat zásady zabezpečení a zavřít výstrahy a doporučení. Obvykle se jedná o uživatele, kteří spravují úlohu.

  • Role zabezpečení, čtenář zabezpečení a Správa zabezpečení mají přístup pouze v programu Defender for Cloud. Role zabezpečení nemají přístup k jiným oblastem služeb Azure, jako jsou úložiště, web, mobilní zařízení nebo IoT.

Předplatné Služby Microsoft Sentinel

  • Pokud chcete povolit Microsoft Sentinel, potřebujete oprávnění přispěvatele k předplatnému, ve kterém se nachází pracovní prostor Microsoft Sentinelu.
  • Pokud chcete používat Microsoft Sentinel, potřebujete oprávnění přispěvatele nebo čtenáře ke skupině prostředků, do které pracovní prostor patří.
  • Microsoft Sentinel je placená služba. Další informace najdete v tématu o cenách služby Microsoft Sentinel.

Efektivita výkonu

Efektivita výkonu je schopnost vaší úlohy efektivně škálovat, aby splňovala požadavky, které na ni uživatelé umístí. Další informace najdete v tématu Přehled pilíře efektivity výkonu.

Agent Log Analytics pro Windows a Linux je navržený tak, aby měl velmi minimální dopad na výkon virtuálních počítačů nebo fyzických systémů.

Provozní proces Microsoft Defenderu pro cloud nezasahuje do běžných provozních postupů. Místo toho pasivní monitoruje vaše nasazení a poskytuje doporučení na základě zásad zabezpečení, které povolíte.

Nasazení tohoto scénáře

Vytvoření pracovního prostoru Log Analytics na webu Azure Portal

  1. Přihlaste se k webu Azure Portal jako uživatel s oprávněními security Správa.
  2. Na webu Azure Portal vyberte Všechny služby. V seznamu prostředků zadejte Log Analytics. Když začnete zadávat, filtry seznamu na základě vašeho vstupu. Vyberte možnost Pracovní prostory služby Log Analytics.
  3. Na stránce Log Analytics vyberte Přidat .
  4. Zadejte název nového pracovního prostoru služby Log Analytics, například Defender for Cloud-SentinelWorkspace. Tento název musí být globálně jedinečný pro všechna předplatná služby Azure Monitor.
  5. Pokud výchozí výběr není vhodný, vyberte předplatné výběrem z rozevíracího seznamu.
  6. Pro skupinu prostředků zvolte, jestli chcete použít existující skupinu prostředků, nebo vytvořit novou.
  7. Jako umístění vyberte dostupnou geografickou polohu.
  8. Výběrem možnosti OK dokončete konfiguraci. New Workspace created for the architecture

Povolení Defenderu pro cloud

I když jste stále přihlášení k webu Azure Portal jako uživatel s oprávněními security Správa, vyberte na panelu Defender for Cloud. Defender for Cloud – otevře se přehled :

Defender for Cloud Overview dashboard blade opens

Defender for Cloud automaticky povolí úroveň Free pro všechna předplatná Azure, která jste předtím nenaboardovali vy nebo jiný uživatel předplatného.

Upgrade Microsoft Defenderu pro cloud

  1. V hlavní nabídce Defenderu pro cloud vyberte Začínáme.
  2. Vyberte tlačítko Upgradovat hned. Defender for Cloud obsahuje seznam vašich předplatných a pracovních prostorů, které mají nárok na použití.
  3. V bezplatné zkušební verzi můžete začít používat vybrané pracovní prostory a předplatná. V rozevírací nabídce vyberte dříve vytvořený pracovní prostor ASC-SentinelWorkspace.
  4. V hlavní nabídce Defenderu pro cloud vyberte Spustit zkušební verzi.
  5. Mělo by se zobrazit dialogové okno Instalovat agenty .
  6. Vyberte tlačítko Instalovat agenty. Zobrazí se okno Defenderu pro cloud – Pokrytí a měli byste sledovat vybrané předplatné. Security Coverage blade showing your subscriptions should be open

Teď jste povolili automatické zřizování a Defender pro cloud nainstaluje agenta Log Analytics pro Windows (HealthService.exe) a agenta omsagent pro Linux na všechny podporované virtuální počítače Azure a všechny nové virtuální počítače Azure, které vytvoříte. Tuto zásadu můžete vypnout a spravovat ji ručně, i když důrazně doporučujeme automatické zřizování.

Další informace o konkrétních funkcích Defenderu pro cloud dostupných ve Windows a Linuxu najdete v tématu Pokrytí funkcí pro počítače.

Povolení monitorování cloudu v programu Microsoft Defender pro místní počítače s Windows

  1. Na webu Azure Portal v okně Defender for Cloud – Přehled vyberte kartu Začínáme .
  2. V části Přidat nové počítače mimo Azure vyberte Konfigurovat. Zobrazí se seznam pracovních prostorů služby Log Analytics a měl by obsahovat Defender for Cloud-SentinelWorkspace.
  3. Vyberte tento pracovní prostor. Otevře se okno Direct Agent s odkazem pro stažení agenta Windows a klíčů pro identifikaci vašeho pracovního prostoru (ID), které se mají použít při konfiguraci agenta.
  4. Vyberte odkaz Stáhnout agenta pro Windows odpovídající typu procesoru vašeho počítače a stáhněte instalační soubor.
  5. Napravo od ID pracovního prostoru vyberte Kopírovat a pak ho vložte do Poznámkový blok.
  6. Napravo od primárního klíče vyberte Kopírovat a vložte ho do Poznámkový blok.

Instalace agenta pro Windows

Chcete-li nainstalovat agenta do cílových počítačů, postupujte takto.

  1. Zkopírujte soubor do cílového počítače a spusťte instalační program.
  2. Na úvodní stránce vyberte Další.
  3. Na stránce Licenční podmínky si přečtěte licenční podmínky a pak vyberte Souhlasím.
  4. Na stránce Cílová složka změňte nebo ponechte výchozí instalační složku a pak vyberte Další.
  5. Na stránce Možnosti instalace agenta zvolte připojení agenta k Azure Log Analytics a pak vyberte Další.
  6. Na stránce Azure Log Analytics vložte ID pracovního prostoru a Klíč pracovního prostoru (Primární klíč), které jste zkopírovali do Poznámkového bloku v rámci předchozího postupu.
  7. Pokud se má počítač hlásit do pracovního prostoru služby Log Analytics v cloudu Azure Government, vyberte z rozevíracího seznamu Cloud Azure možnost Azure US Government. Pokud počítač potřebuje komunikovat přes proxy server se službou Log Analytics, vyberte Upřesnit a zadejte adresu URL a číslo portu proxy serveru.
  8. Jakmile zadáte potřebná nastavení konfigurace, vyberte Další. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Na stránce Připraveno k instalaci zkontrolujte zvolené volby a pak vyberte Nainstalovat.
  10. Na stránce Konfigurace byla úspěšně dokončena, vyberte Dokončit.

Po dokončení se agent Log Analytics zobrazí ve Windows Ovládací panely a můžete zkontrolovat konfiguraci a ověřit, že je agent připojený.

Další informace o instalaci a konfiguraci agenta najdete v tématu Instalace agenta Log Analytics na počítačích s Windows.

Služba agenta Log Analytics shromažďuje data událostí a výkonu, spouští úlohy a další pracovní postupy definované v sadě Management Pack. Defender for Cloud rozšiřuje své platformy ochrany cloudových úloh integrací s Microsoft Defenderem pro servery. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR).

Další informace o programu Microsoft Defender for Servers najdete v tématu Onboarding serverů do služby Microsoft Defender for Servers.

Povolení monitorování cloudu v programu Microsoft Defender pro místní počítače s Linuxem

  1. Vraťte se na kartu Začínáme , jak jsme popsali dříve.
  2. V části Přidat nové počítače mimo Azure vyberte Konfigurovat. Zobrazí se seznam pracovních prostorů služby Log Analytics. Seznam by měl obsahovat Defender for Cloud-SentinelWorkspace , který jste vytvořili.
  3. V okně Direct Agent v části STÁHNOUT A ONBOARD AGENT PRO LINUX vybertekopírovat příkazwget .
  4. Otevřete Poznámkový blok a vložte tento příkaz. Uložte tento soubor do umístění, ke kterému máte přístup z počítače s Linuxem.

Poznámka:

V operačních systémech Unix a Linux je wget nástrojem pro neinteraktivní stahování souborů z webu. Podporuje protokol HTTPS, FTPs a proxy servery.

Agent Linuxu používá architekturu démona auditování Linuxu. Defender for Cloud integruje funkce z této architektury v rámci agenta Log Analytics, který umožňuje shromažďovat, rozšiřovat a agregovat záznamy auditu do událostí pomocí agenta Log Analytics pro Linux. Defender for Cloud průběžně přidává nové analýzy, které používají linuxové signály k detekci škodlivého chování na cloudových a místních počítačích s Linuxem.

Seznam výstrah Linuxu najdete v referenční tabulce výstrah.

Instalace agenta pro Linux

Chcete-li nainstalovat agenta na cílové počítače s Linuxem, postupujte takto:

  1. Na počítači s Linuxem otevřete soubor, který jste předtím uložili. Vyberte a zkopírujte celý obsah, otevřete konzolu terminálu a vložte příkaz.
  2. Po dokončení instalace můžete ověřit, že je agent omsagent nainstalován spuštěním příkazu pgrep . Příkaz vrátí identifikátor procesu omsagent (PID). Protokoly pro agenta najdete na adrese: /var/opt/microsoft/omsagent/"workspace id"/log/.

Zobrazení nového počítače s Linuxem v defenderu pro cloud může trvat až 30 minut.

Povolení microsoft defenderu pro monitorování cloudu virtuálních počítačů Azure Stack

Po nasazení předplatného Azure můžete povolit Defender for Cloud, aby chránil vaše virtuální počítače spuštěné ve službě Azure Stack přidáním rozšíření virtuálního počítače azure Monitor, aktualizace a správy konfigurace z marketplace služby Azure Stack. Akce:

  1. Vraťte se na kartu Začínáme , jak jsme popsali dříve.
  2. V části Přidat nové počítače mimo Azure vyberte Konfigurovat. Zobrazí se seznam pracovních prostorů služby Log Analytics a měl by obsahovat defender pro Cloud-SentinelWorkspace , který jste vytvořili.
  3. V okně Direct Agent existuje odkaz pro stažení agenta a klíčů pro ID vašeho pracovního prostoru, které se mají použít během konfigurace agenta. Agenta nemusíte stahovat ručně. V následujících krocích se nainstaluje jako rozšíření virtuálního počítače.
  4. Napravo od ID pracovního prostoru vyberte Kopírovat a pak ho vložte do Poznámkový blok.
  5. Napravo od primárního klíče vyberte Kopírovat a vložte ho do Poznámkový blok.

Povolení služby Defender pro monitorování cloudu virtuálních počítačů Azure Stack

Microsoft Defender pro cloud používá rozšíření virtuálního počítače azure Monitor, aktualizace a správy konfigurace, které je součástí služby Azure Stack. Pokud chcete povolit rozšíření Azure Monitor, Update and Configuration Management , postupujte takto:

  1. Na nové kartě prohlížeče se přihlaste k portálu Azure Stack .
  2. Přejděte na stránku Virtuální počítače a vyberte virtuální počítač, který chcete chránit pomocí defenderu pro cloud.
  3. Vyberte Rozšíření. Zobrazí se seznam rozšíření virtuálních počítačů nainstalovaných na tomto virtuálním počítači.
  4. Vyberte kartu Přidat. Otevře se okno nabídky Nový prostředek a zobrazí seznam dostupných rozšíření virtuálních počítačů.
  5. Vyberte rozšíření Azure Monitor, Update and Configuration Management a pak vyberte Vytvořit. Otevře se okno Instalace konfigurace rozšíření .
  6. V okně Instalace konfigurace rozšíření vložte ID pracovního prostoru a klíč pracovního prostoru (primární klíč), které jste zkopírovali do Poznámkový blok v předchozím postupu.
  7. Až dokončíte zadání potřebných nastavení konfigurace, vyberte OK.
  8. Po dokončení instalace rozšíření se jeho stav zobrazí jako Úspěšné zřízení. Zobrazení virtuálního počítače na portálu Defender for Cloud může trvat až hodinu.

Další informace o instalaci a konfiguraci agenta pro Windows najdete v průvodci instalací agenta.

Informace o řešení potíží s linuxovým agentem najdete v tématu Řešení potíží s agentem Log Analytics pro Linux.

Teď můžete na jednom místě monitorovat své virtuální počítače Azure i počítače umístěné mimo Azure. Azure Compute poskytuje přehled všech virtuálních počítačů a počítačů spolu s doporučeními. Každý sloupec představuje jednu sadu doporučení a barva představuje virtuální počítače nebo počítače a aktuální stav zabezpečení tohoto doporučení. Defender for Cloud také poskytuje detekci těchto počítačů v výstrahách zabezpečení. Defender for Cloud list of systems monitored on the Compute blade

V okně Compute se zobrazují dva typy ikon:

Purple computer icon that represents a non-azure monitored computer Počítač mimo Azure

Blue terminal icon that represents an Azure monitored computer Počítač Azure

Poznámka:

Druhá část referenční architektury propojí výstrahy z Microsoft Defenderu pro cloud a streamuje je do Microsoft Sentinelu.

Role Microsoft Sentinelu je ingestovat data z různých zdrojů dat a provádět korelaci dat mezi těmito zdroji dat. Microsoft Sentinel využívá strojové učení a AI k inteligentnímu proaktivnímu vyhledávání hrozeb, detekci výstrah a reakcím na hrozby.

Pokud chcete nasadit Microsoft Sentinel, musíte ho povolit a pak připojit zdroje dat. Microsoft Sentinel nabízí řadu konektorů pro řešení Microsoftu, která jsou k dispozici předem a poskytují integraci v reálném čase, včetně microsoft defenderu pro cloud, řešení Microsoft Threat Protection, zdrojů Microsoftu 365 (včetně Office 365), Microsoft Entra ID, Microsoft Defenderu pro servery, Microsoft Defenderu pro Cloud Apps a dalších. Kromě toho jsou k dispozici integrované konektory širšího ekosystému zabezpečení pro řešení od jiných výrobců než je Microsoft. K propojení zdrojů dat s Microsoft Sentinelem můžete použít také běžný formát událostí, syslog nebo rozhraní API pro přenos stavu reprezentace.

Požadavky na integraci Microsoft Sentinelu s Microsoft Defenderem pro cloud

  1. Předplatné Microsoft Azure
  2. Pracovní prostor služby Log Analytics, který není výchozím pracovním prostorem vytvořeným při povolení Microsoft Defenderu pro cloud.
  3. Microsoft Defender for Cloud.

Pokud jste prošli předchozí částí, měly by být splněny všechny tři požadavky.

Globální požadavky

  • Pokud chcete povolit Microsoft Sentinel, potřebujete oprávnění přispěvatele k předplatnému, ve kterém se nachází pracovní prostor Microsoft Sentinelu.
  • Pokud chcete používat Microsoft Sentinel, potřebujete oprávnění přispěvatele nebo čtenáře ke skupině prostředků, do které pracovní prostor patří.
  • Možná budete potřebovat další oprávnění pro připojení konkrétních zdrojů dat. Pro připojení k Defenderu pro cloud nepotřebujete další oprávnění.
  • Microsoft Sentinel je placená služba. Další informace najdete v tématu o cenách služby Microsoft Sentinel.

Povolení služby Microsoft Sentinel

  1. Přihlaste se k webu Azure Portal pomocí uživatele, který má práva přispěvatele pro Defender for Cloud-Sentinelworkspace.
  2. Vyhledejte a vyberte Microsoft Sentinel. In the Azure portal search for the term
  3. Vyberte Přidat.
  4. V okně Microsoft Sentinel vyberte Defender for Cloud-Sentinelworkspace.
  5. V Microsoft Sentinelu vyberte v navigační nabídce datové konektory.
  6. V galerii datových konektorů vyberte Microsoft Defender for Cloud a vyberte tlačítko Otevřít konektor . In Microsoft Sentinel showing the open Collectors page
  7. V části Konfigurace vyberte Připojení vedle těchto předplatných, pro která se mají upozornění streamovat do Služby Microsoft Sentinel. Tlačítko Připojení bude dostupné jenom v případě, že máte požadovaná oprávnění a předplatné Defenderu pro cloud.
  8. Teď byste měli sledovat stav Připojení jakoPřipojení. Po připojení se přepne na Připojení ed.
  9. Po potvrzení připojení můžete zavřít Defender for Cloud Data Připojení nastavení a aktualizovat stránku, abyste mohli sledovat výstrahy v Microsoft Sentinelu. Synchronizace protokolů s Microsoft Sentinelem může chvíli trvat. Po připojení uvidíte souhrn dat v grafu přijatých dat a stav připojení datových typů.
  10. Můžete vybrat, jestli chcete, aby výstrahy z programu Microsoft Defender for Cloud automaticky generovaly incidenty v Microsoft Sentinelu. V části Vytvořit incidenty vyberte Povoleno, pokud chcete zapnout výchozí analytické pravidlo, které automaticky vytváří incidenty z výstrah. Toto pravidlo pak můžete upravit v části Analýza na kartě Aktivní pravidla .
  11. Pokud chcete použít příslušné schéma v Log Analytics pro výstrahy Microsoft Defenderu pro cloud, vyhledejte SecurityAlert.

Jednou z výhod používání služby Microsoft Sentinel jako siEM je, že poskytuje korelaci dat mezi více zdroji, což vám umožňuje mít ucelenou viditelnost událostí souvisejících se zabezpečením vaší organizace.

Další informace o Službě Microsoft Sentinel najdete v následujících článcích:

  • Rychlý start: Začínáme s Microsoft Sentinelem
  • Kurz: Detekce předdefinovaných hrozeb

Další kroky

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack