在本快速入門中,您將會啟用 Microsoft Sentinel,並從內容中樞安裝解決方案。 然後,您將會設定資料連接器,開始將資料擷取至 Microsoft Sentinel。
Microsoft Sentinel 隨附許多適用於 Microsoft 產品的資料連接器,例如 Microsoft Defender XDR 服務對服務連接器。 您也可以為非 Microsoft 產品啟用內建連接器,例如 Syslog 或 Common Event Format (CEF)。 在本快速入門中,您將會使用適用於 Microsoft Sentinel 的 Azure 活動解決方案中提供的 Azure 活動資料連接器。
若要使用 API 上線至 Microsoft Sentinel,請參閱最新支援的 Sentinel 上線狀態版本。
必要條件
作用中 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
權限:
若要啟用 Microsoft Sentinel,您需要 Microsoft Sentinel 工作區所在訂用帳戶的參與者權限。
若要使用 Microsoft Sentinel,您需要工作區所屬資源群組的 Microsoft Sentinel 參與者或 Microsoft Sentinel 讀者權限。
若要在內容中樞安裝或管理解決方案,您需要工作區所屬資源群組的 Microsoft Sentinel 參與者角色。
如果您是新的Microsoft Sentinel 客戶,且具有訂用帳戶 擁有者 或 使用者存取系統管理員的許可權,則您的工作區會自動上線至 Defender 入口網站。 這類工作區的使用者只能在 Defender 入口網站 中使用 Microsoft Sentinel 。
Azure Sentinel 是付費服務。 檢閱價格選項 和 Microsoft Sentinel 價格頁面。
將 Microsoft Sentinel 部署到實際執行環境之前,請先檢閱部署 Microsoft Sentinel 的預先部署活動和必要條件。
建立 Log Analytics 工作區
必須將 Microsoft Sentinel 新增至工作區。 如果您已經有 Log Analytics 工作區,請跳至 將 Microsoft Sentinel 新增至 Log Analytics 工作區。 如果您還沒有 Log Analytics 工作區,可以使用下列指示建立工作區,或如需更詳細的說明,請移至 建立 Log Analytics 工作區。 如需 Log Analytics 工作區的詳細資訊,請參閱設計您的 Azure 監視器記錄部署。
您可能會在用於 Microsoft Sentinel 的 Log Analytics 工作區中,預設的保留期限為 30 天。 若要確定您可以使用所有 Microsoft Sentinel 功能和功能,請將保留期提高到 90 天。 在 Azure 監視器記錄中設定資料保留和封存原則。
登入 Azure 入口網站。
搜尋並選取 [Microsoft Sentinel]。
選取 [建立]。
![選取 [建立] 以開始建立新 Log Analytics 工作區的螢幕擷取畫面。](media/quickstart-onboard/log-analytics-workspace-create.png)
選取 [建立新的工作區]。
![選取 [建立新工作區] 的螢幕擷取畫面。](media/quickstart-onboard/log-analytics-workspace-create-a-new-workspace.png)
在 [訂用帳戶>] 底下,選取 [新建]。 輸入資源群組的名稱,然後選取 [確定]。
![建立 Log Analytics 工作區畫面的螢幕擷取畫面。在 [訂用帳戶和資源群組] 底下,已選取 [新建]。](media/quickstart-onboard/log-analytics-workspace-resource-group-create-new-with-name-both-selected.png)
為工作區命名並選取區域,然後選取 [檢閱 + 建立]。 (請參閱 哪些區域提供 Log Analytics。
驗證通過之後,選取 [建立]。 請等候部署完成。
將 Microsoft Sentinel 新增至您的 Log Analytics 工作區
從 Azure 入口網站,搜尋並選取 Microsoft Sentinel。
選取 [建立]。
選取您要使用的工作區,然後選取 [新增]。 您可以在多個工作區上執行Microsoft Sentinel,但數據會隔離至單一工作區。
- 適用於雲端的 Microsoft Defender 所建立的預設工作區不會顯示在清單中。 您無法在這些工作區上安裝 Microsoft Sentinel。
- 在工作區上部署之後,Microsoft Sentinel 不支援將該工作區移至另一個資源群組或訂用帳戶。
備註
如果您的工作區未自動連接至 Defender 入口網站,建議您註冊以在 Microsoft Sentinel 和其他 Microsoft 安全性服務中實現統一的安全性操作(SecOps)管理體驗。 如需詳細資訊,請參閱 將 Microsoft Sentinel 整合至 Defender 入口網站。
如果您的工作區是自動加入的,或如果您現在決定將工作區加入,您可以從 Defender 入口網站繼續執行本文中的程序。 如果這是您第一次使用Defender入口網站,程式完成時將會延遲幾分鐘。
在 Defender 入口網站中存取 Microsoft Sentinel
若要在Defender入口網站中存取Microsoft Sentinel:
登入Defender入口。
第一次存取 Defender 入口網站時,佈建您的租用戶需要一些時間。
設定完成後,您將會在瀏覽窗格中看到 Microsoft Sentinel,其中包含 Microsoft Sentinel 欄目。 例如:
向下捲動瀏覽窗格中,然後選取 > [設定] Microsoft Sentinel > 工作區,以檢視上線至 Defender 入口網站且可供您使用的工作區。
Defender 入口網站支援多個工作區,其中一個工作區會作為每個租使用者的主要工作區。 如需詳細資訊,請參閱 Defender 入口網站 中的多個Microsoft Sentinel 工作區 和 Microsoft Defender 多租使用者管理。
從內容中樞安裝解決方案
Microsoft Sentinel 中的內容中樞是探索及管理現成可用內容 (包括資料連接器) 的集中式位置。 在本快速入門中,安裝適用於 Azure 活動的解決方案。
在 Microsoft Sentinel 中,流覽至 [內容中樞 ] 頁面,然後尋找並選取 Azure 活動 解決方案。
在側邊的解決方案詳細資料窗格中,選取 [ 安裝]。
設定資料連接器
Azure Sentinel 藉由連線到服務並將事件和記錄轉送至 Azure Sentinel,從服務和應用程式擷取資料。 在本快速入門中,安裝資料連接器,以將 Azure 活動的資料轉送至 Microsoft Sentinel。
在 Microsoft Sentinel 中,選取 [ 組態>數據連接器 ],然後搜尋並選取 [Azure 活動 數據連接器]。
在 [連接器詳細資料] 窗格中,選取 開啟連接器頁面。 使用 Azure 活動 連接器頁面上的指示來設定數據連接器。
選取 [啟動 Azure 原則指派精靈]。
在 [基本資料] 索引標籤上,將 [範圍] 設定為具有傳送至 Microsoft Sentinel 之活動的訂用帳戶和資源群組。 例如,選取包含您 Microsoft Sentinel 執行個體的訂用帳戶。
選取 [ 參數] 索引標籤,然後設定 [主要 Log Analytics] 工作區。 這應該是 Microsoft Sentinel 安裝所在的工作區。
依序選取 [檢閱 + 建立] 和 [建立]。
產生活動資料
讓我們藉由啟用適用於 Microsoft Sentinel 的 Azure 活動解決方案中包含的規則來產生一些活動資料。 此步驟也會示範如何在內容中樞管理內容。
在 Microsoft Sentinel 中,選取 [內容中樞],然後搜尋並選取 [Azure 活動] 解決方案中的 [可疑資源部署規則] 範本。
在詳細數據窗格中,選取 [ 建立規則 ] 以使用 [分析規則精靈] 建立新規則。
在 [分析規則精靈 - 建立新的排程規則] 頁面中,將 [狀態] 變更為 [已啟用]。
在此索引標籤和精靈中所有其他索引標籤上,保留預設值。
在 [檢閱及建立] 索引標籤中,選取 [建立]。
檢視擷取至 Microsoft Sentinel 的資料
現在您已啟用 Azure 活動資料連接器,並產生一些活動資料,讓我們檢視新增至工作區的活動資料。
在 Microsoft Sentinel 中,選取 [ 組態>數據連接器 ],然後搜尋並選取 [Azure 活動 數據連接器]。
在 [連接器詳細資料] 窗格中,選取 開啟連接器頁面。
檢閱資料連接器的 [狀態]。 狀態應該是 [已連線]。
根據您使用的入口網站,選取對應的索引標籤以繼續:
選取 [前往 Log Analytics],以開啟 [進階搜捕] 頁面。
在窗格頂端的 [ 新增查詢 ] 索引卷標旁,選取 + 以新增查詢索引標籤。
執行下列查詢,以查看匯入到工作區的活動日期:
AzureActivity
例如:
![Defender 入口網站 [記錄] 頁面中 AzureActivity 查詢的螢幕快照。](media/quickstart-onboard/content-hub-azure-activity-defender.png)
![Azure 入口網站 [記錄] 頁面中 AzureActivity 查詢的螢幕快照。](media/quickstart-onboard/azure-activity-logs-query.png)
下一步
在本快速入門中,您已啟用 Microsoft Sentinel,並從內容中樞安裝解決方案。 然後,您會設定資料連接器,開始將資料擷取至 Microsoft Sentinel。 您也會藉由檢視工作區中的資料來確認資料正在擷取中。
如果您是自動上線至 Defender 入口網站的新客戶,則使用者只會在 Defender 入口網站中存取Microsoft Sentinel。 當您使用 Microsoft Sentinel 文件時,務必選取文件的 Defender 入口網站版本。
- 若要使用儀表板和活頁簿將資料視覺化,請參閱將收集的資料視覺化。
- 若要使用分析規則偵測威脅,請參閱教學課程:在 Microsoft Sentinel 中使用分析規則偵測威脅。