Dołączanie usługi Microsoft Sentinel

W tym przewodniku Szybki start włączysz usługę Microsoft Sentinel i zainstalujesz rozwiązanie z centrum zawartości. Następnie skonfigurujesz łącznik danych, aby rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel.

Usługa Microsoft Sentinel zawiera wiele łączników danych dla produktów firmy Microsoft, takich jak łącznik usługi XDR usługi Microsoft Defender do usługi. Możesz również włączyć wbudowane łączniki dla produktów innych niż Microsoft, takich jak Syslog lub Common Event Format (CEF). W tym przewodniku Szybki start użyjesz łącznika danych aktywności platformy Azure dostępnego w rozwiązaniu aktywność platformy Azure dla usługi Microsoft Sentinel.

Aby dołączyć do usługi Microsoft Sentinel przy użyciu interfejsu API, zobacz najnowszą obsługiwaną wersję stanów dołączania usługi Sentinel.

Wymagania wstępne

• Aktywna subskrypcja platformy Azure. Jeśli nie masz subskrypcji, przed rozpoczęciem utwórz bezpłatne konto.

• Uprawnienia:

  • Aby włączyć usługę Microsoft Sentinel, musisz mieć uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy usługi Microsoft Sentinel.

  • Aby korzystać z usługi Microsoft Sentinel, musisz mieć uprawnienia współautora usługi Microsoft Sentinel lub czytelnika usługi Microsoft Sentinel w grupie zasobów, do której należy obszar roboczy.

  • Aby zainstalować rozwiązania w centrum zawartości lub zarządzać nimi, potrzebna jest rola Współautor usługi Microsoft Sentinel w grupie zasobów, do której należy obszar roboczy.

  • Jeśli jesteś nowym klientem usługi Microsoft Sentinel i masz uprawnienia właściciela subskrypcji lub administratora dostępu użytkowników, obszar roboczy zostanie automatycznie dołączony do portalu usługi Defender. Użytkownicy takich obszarów roboczych używają usługi Microsoft Sentinel tylko w portalu usługi Defender .

• Microsoft Sentinel to płatna usługa. Przejrzyj opcje cennika i stronę cennika usługi Microsoft Sentinel.

• Przed wdrożeniem usługi Microsoft Sentinel w środowisku produkcyjnym zapoznaj się z działaniami przed wdrożeniem i wymaganiami wstępnymi dotyczącymi wdrażania usługi Microsoft Sentinel.

Tworzenie obszaru roboczego usługi Log Analytics

Usługa Microsoft Sentinel musi zostać dodana do obszaru roboczego. Jeśli masz już obszar roboczy usługi Log Analytics, przejdź do dodawania usługi Microsoft Sentinel do obszaru roboczego usługi Log Analytics. Jeśli nie masz jeszcze obszaru roboczego usługi Log Analytics, możesz go utworzyć, korzystając z poniższych instrukcji lub, aby uzyskać bardziej szczegółowe wyjaśnienie, przejdź do sekcji Tworzenie obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji na temat obszarów roboczych usługi Log Analytics, zobacz Projektowanie wdrożenia dzienników usługi Azure Monitor.

W obszarze roboczym usługi Log Analytics używanym dla usługi Microsoft Sentinel może być domyślnie przechowywana wartość 30 dni . Aby upewnić się, że możesz używać wszystkich funkcji i funkcji usługi Microsoft Sentinel, należy podnieść okres przechowywania do 90 dni. Konfigurowanie zasad przechowywania i archiwizowania danych w dziennikach usługi Azure Monitor.

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Sentinel.
   

3. Wybierz pozycję Utwórz.

4. Wybierz pozycję Utwórz nowy obszar roboczy.

5. W obszarze >, wybierz pozycję Utwórz nową. Wprowadź nazwę grupy zasobów i wybierz przycisk OK.

6. Nadaj obszarowi roboczemu nazwę i wybierz region, a następnie wybierz pozycję Przejrzyj i utwórz. (Zobacz , w których regionach jest dostępna usługa Log Analytics).

7. Po zakończeniu walidacji wybierz pozycję Utwórz. Poczekaj na zakończenie wdrożenia.

Dodawanie usługi Microsoft Sentinel do obszaru roboczego usługi Log Analytics

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel.

2. Wybierz pozycję Utwórz.

3. Wybierz obszar roboczy, którego chcesz użyć, a następnie wybierz pozycję Dodaj. Usługę Microsoft Sentinel można uruchomić w więcej niż jednym obszarze roboczym, ale dane są izolowane do jednego obszaru roboczego.

   • Domyślne obszary robocze utworzone przez Microsoft Defender dla Chmury nie są wyświetlane na liście. Nie można zainstalować usługi Microsoft Sentinel w tych obszarach roboczych.
   • Po wdrożeniu w obszarze roboczym usługa Microsoft Sentinel nie obsługuje przenoszenia tego obszaru roboczego do innej grupy zasobów ani subskrypcji.

Uzyskiwanie dostępu do usługi Microsoft Sentinel w portalu usługi Defender

Aby uzyskać dostęp do usługi Microsoft Sentinel w portalu usługi Defender:

1. Zaloguj się do portalu usługi Defender.

   Gdy po raz pierwszy uzyskasz dostęp do portalu Defender, konfiguracja dzierżawy zajmie trochę czasu.

2. Po skonfigurowaniu zobaczysz Microsoft Sentinel dostępny w okienku nawigacji z zagnieżdżonymi węzłami Microsoft Sentinel. Przykład:

   

3. Przewiń w dół w okienku nawigacji i wybierz pozycję Ustawienia > Obszary robocze usługi Microsoft Sentinel>, aby wyświetlić obszary robocze dołączone do portalu usługi Defender i dostępne dla Ciebie.

Portal Defender obsługuje wiele obszarów roboczych, przy czym jeden z nich jest oznaczony jako podstawowy dla każdego dzierżawcy. Aby uzyskać więcej informacji, zobacz Wiele obszarów roboczych Microsoft Sentinel w portalu Microsoft Defender i Zarządzanie wielodostępnością Microsoft Defender.

Instalowanie rozwiązania z centrum zawartości

Centrum zawartości w usłudze Microsoft Sentinel to scentralizowana lokalizacja do odnajdywania gotowej zawartości i zarządzania nią, w tym łączników danych. Na potrzeby tego przewodnika Szybki start zainstaluj rozwiązanie dla działania platformy Azure.

1. W usłudze Microsoft Sentinel przejdź do strony Centrum zawartości i znajdź i wybierz rozwiązanie aktywność platformy Azure .

   • Portal Defender
   • Portal Azure

   

2. W okienku szczegółów rozwiązania po stronie wybierz pozycję Zainstaluj.

Konfigurowanie łącznika danych

Usługa Microsoft Sentinel pozyskuje dane z usług i aplikacji, łącząc się z usługą i przekazując zdarzenia i dzienniki do usługi Microsoft Sentinel. Na potrzeby tego przewodnika Szybki start zainstaluj łącznik danych, aby przekazywać dane dla działania platformy Azure do usługi Microsoft Sentinel.

1. W usłudze Microsoft Sentinel wybierz pozycję Konfiguracja>Łączniki danych i wyszukaj oraz wybierz łącznik danych Azure Activity.

2. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika. Aby skonfigurować łącznik danych, wykonaj instrukcje na stronie łącznika Aktywność platformy Azure.

   1. Wybierz pozycję Uruchom Kreatora przypisania usługi Azure Policy.

   2. Na karcie Podstawy ustaw pozycję Zakres na subskrypcję i grupę zasobów, która ma działanie do wysłania do usługi Microsoft Sentinel. Na przykład wybierz subskrypcję zawierającą wystąpienie usługi Microsoft Sentinel.

   3. Wybierz kartę Parametry i ustaw podstawowy obszar roboczy usługi Log Analytics. Powinien to być obszar roboczy, w którym zainstalowano usługę Microsoft Sentinel.

   4. Wybierz pozycję Przeglądanie + tworzenie i pozycję Utwórz.

Generowanie danych działań

Wygenerujmy dane aktywności, włączając regułę, która została uwzględniona w rozwiązaniu Działania platformy Azure dla usługi Microsoft Sentinel. W tym kroku pokazano również, jak zarządzać zawartością w centrum zawartości.

1. W usłudze Microsoft Sentinel przejdź do Centrum zawartości, wyszukaj szablon reguły Podejrzane wdrażanie zasobów i wybierz go w rozwiązaniu Aktywność platformy Azure.

2. W okienku szczegółów wybierz pozycję Utwórz regułę , aby utworzyć nową regułę przy użyciu kreatora reguł analizy.

3. W kreatorze reguł analizy — Utwórz nową zaplanowaną regułę zmień stan na Włączony.

   Na tej karcie i wszystkich innych kartach w kreatorze pozostaw wartości domyślne, tak jak są.

4. Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.

Wyświetlanie danych pozyskanych do usługi Microsoft Sentinel

Po włączeniu łącznika danych aktywności platformy Azure i wygenerowaniu niektórych danych działań wyświetlmy dane działań dodane do obszaru roboczego.

1. W usłudze Microsoft Sentinel wybierz pozycję Konfiguracja>Łączniki danych i wyszukaj oraz wybierz łącznik danych Azure Activity.

2. W okienku szczegółów łącznika wybierz pozycję Otwórz stronę łącznika.

3. Przejrzyj stan łącznika danych. Powinien mieć wartość Połączono.

   

4. Wybierz kartę, aby kontynuować, w zależności od używanego portalu:

   • Portal Defender
   • Portal Azure

   1. Wybierz opcję Przejdź do analizy dziennika, aby otworzyć stronę Zaawansowane wyszukiwanie.

   2. Na górze okienka, obok karty Nowe zapytanie, wybierz + aby dodać nową kartę zapytania.

   3. Uruchom następujące zapytanie, aby wyświetlić datę aktywności zaimportowaną do obszaru roboczego.

      AzureActivity
      

   Przykład:

   

Następne kroki

W tym przewodniku Szybki start włączono usługę Microsoft Sentinel i zainstalowano rozwiązanie z centrum zawartości. Następnie skonfigurujesz łącznik danych, aby rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel. Sprawdzono również, że dane są pozyskiwane, wyświetlając dane w obszarze roboczym.

Jeśli jesteś nowym klientem, który został automatycznie dołączony do portalu usługi Defender, użytkownicy będą uzyskiwać dostęp tylko do usługi Microsoft Sentinel w portalu usługi Defender. Korzystając z dokumentacji usługi Microsoft Sentinel, upewnij się, że wybrano wersję dokumentacji dla portalu usługi Defender.

• Aby zwizualizować zebrane dane przy użyciu pulpitów nawigacyjnych i skoroszytów, zobacz Wizualizacja zebranych danych.
• Aby wykrywać zagrożenia przy użyciu reguł analizy, zobacz Samouczek: wykrywanie zagrożeń przy użyciu reguł analizy w usłudze Microsoft Sentinel.