Eseguire l'onboarding di Microsoft Sentinel

2025-07-26

In questa guida introduttiva verrà abilitato Microsoft Sentinel e verrà installata una soluzione dall'hub dei contenuti. Quindi, si configurerà un connettore dati per avviare l'inserimento di dati in Microsoft Sentinel.

Il Microsoft Sentinel include molti connettori dati per prodotti Microsoft, ad esempio il connettore da servizio a servizio di Microsoft Defender XDR. È anche possibile abilitare connettori predefiniti per prodotti non Microsoft, ad esempio Syslog o Common Event Format (CEF). Per questo avvio rapido, si userà il connettore dati di Attività di Azure disponibile nella soluzione Attività di Azure per Microsoft Sentinel.

Per eseguire l’onboarding in Microsoft Sentinel usando l’API, vedere la versione più recente supportata degli stati di onboarding di Sentinel.

Prerequisiti

Attivare sottoscrizione di Azure. Se non se ne dispone, creare un account gratuito prima di iniziare.
Area di lavoro Log Analytics. Informazioni su come creare un'area di lavoro Log Analytics. Per altre informazioni sulle aree di lavoro Log Analytics, vedere Progettazione della distribuzione dei log di Monitoraggio di Azure.

È possibile avere un valore predefinito di 30 giorni di conservazione nell'area di lavoro Log Analytics usata per Microsoft Sentinel. Per assicurarsi di poter usare tutte le funzionalità e le funzionalità di Microsoft Sentinel, aumentare la conservazione a 90 giorni. Configurare i criteri di conservazione e archiviazione dei dati nei log di Monitoraggio di Azure.
Autorizzazioni:
- Per abilitare Microsoft Sentinel sono necessarie le autorizzazioni di Collaboratore per la sottoscrizione in cui risiede l'area di lavoro di Microsoft Sentinel.
- Per usare Microsoft Sentinel, è necessario un Collaboratore di Microsoft Sentinel o delle autorizzazioni di lettura di Microsoft Sentinel per il gruppo di risorse a cui appartiene l'area di lavoro.
- Per installare o gestire soluzioni nell'hub del contenuto, è necessario il ruolo di Collaboratore di Microsoft Sentinel nel gruppo di risorse a cui appartiene l'area di lavoro.
- Se si è un nuovo utente di Microsoft Sentinel e si dispone delle autorizzazioni di proprietario di una sottoscrizione o di un amministratore dell'accesso utente, l'area di lavoro viene automaticamente aggiunta nel portale di Defender. Gli utenti di tali aree di lavoro usano Solo Microsoft Sentinel nel portale di Defender .
Microsoft Sentinel è un servizio a pagamento. Esaminare le opzioni dei prezzi e la pagina dei prezzi di Microsoft Sentinel.
Prima di distribuire Microsoft Sentinel in un ambiente di produzione, esaminare le attività di pre-distribuzione e i prerequisiti per la distribuzione di Microsoft Sentinel.

Abilitare Microsoft Sentinel

Per iniziare, aggiungere Microsoft Sentinel a un'area di lavoro esistente o crearne una nuova.

Accedere al portale di Azure.
Cercare e selezionare Microsoft Sentinel.
Seleziona Crea.
Selezionare l'area di lavoro da usare o crearne una nuova. È possibile eseguire Microsoft Sentinel in più aree di lavoro, ma i dati sono isolati in una singola area di lavoro.
- Le aree di lavoro predefinite create da Microsoft Defender per il cloud non vengono visualizzate nell'elenco. Non è possibile installare Microsoft Sentinel in queste aree di lavoro.
- Dopo la distribuzione in un'area di lavoro, Microsoft Sentinel non supporta spostare l'area di lavoro in un altro gruppo di risorse o in un'altra sottoscrizione.
Selezionare Aggiungi.

Annotazioni

Se l'area di lavoro non è automaticamente inclusa nel portale di Defender, consigliamo di eseguire l'onboarding per un'esperienza unificata nella gestione delle operazioni di sicurezza (SecOps) su Microsoft Sentinel e altri servizi di sicurezza Microsoft. Per altre informazioni, vedere Eseguire l'onboarding di Microsoft Sentinel nel portale di Defender.

Se l'onboarding dell'area di lavoro viene eseguito automaticamente o se si decide di eseguire ora l'onboarding dell'area di lavoro, è possibile continuare le procedure descritte in questo articolo dal portale di Microsoft Defender. Se questa è la prima volta che si usa il portale di Defender, si verifica un ritardo di alcuni minuti durante il completamento del processo.

Accedere a Microsoft Sentinel nel portale di Defender

Questa procedura è rilevante se si esegue automaticamente l'onboarding nel portale di Defender o se si sceglie di eseguire l'onboarding dell'area di lavoro nel portale di Defender dopo aver abilitato Microsoft Sentinel.

Per accedere a Microsoft Sentinel nel portale di Defender:

Accedere al portale di Defender.

La prima volta che si accede al portale di Defender, la configurazione del tenant richiederà del tempo.
Dopo il provisioning, Microsoft Sentinel sarà disponibile nel riquadro di spostamento, con i nodi di Microsoft Sentinel annidati all'interno. Per esempio:

Screenshot di Microsoft Sentinel nel portale di Defender.
Scorrere verso il basso nel riquadro di spostamento e selezionare Impostazioni aree > di lavoro di Microsoft Sentinel > per visualizzare le aree di lavoro caricate nel portale di Defender e disponibili.

Il portale di Defender supporta più aree di lavoro, con un'area di lavoro che funge da area di lavoro primaria per tenant. Per altre informazioni, vedere Più aree di lavoro di Microsoft Sentinel nel portale di Defender e nella gestione multi-tenant di Microsoft Defender.

Installare una soluzione dall'hub dei contenuti

L'hub dei contenuti in Microsoft Sentinel è la posizione centralizzata per individuare e gestire contenuti predefiniti, compresi i connettori dati. Per questa guida introduttiva, installare la soluzione per Attività di Azure.

In Microsoft Sentinel, accedere alla pagina Content Hub e individuare e selezionare la soluzione Attività di Azure.
- Portale Defender
- Portale di Azure

Nel riquadro dei dettagli della soluzione sul lato selezionare Installa.

Configurare il connettore dati

Microsoft Sentinel inserisce i dati da app e servizi connettendosi al servizio e inoltrando gli eventi e i log a Microsoft Sentinel. Per questo avvio rapido, installa il connettore dati per inoltrare i dati delle attività di Azure a Microsoft Sentinel.

In Microsoft Sentinel, selezionare Configurazione>Connettori dati e cercare e selezionare il connettore dati Attività di Azure.
Nel riquadro dei dettagli del connettore selezionare Apri pagina connettore. Seguire le istruzioni nella pagina del connettore di Attività di Azure per configurare il connettore dati.
1. Selezionare Avvia la procedura guidata di assegnazione dei criteri di Azure.
2. Nella scheda Informazioni di base impostare l'ambito sulla sottoscrizione e sul gruppo di risorse con attività da inviare a Microsoft Sentinel. Ad esempio, selezionare la sottoscrizione che contiene l'istanza di Microsoft Sentinel.
3. Selezionare la scheda Parametri e impostare l'area di lavoro Log Analytics primaria. Deve trattarsi dell'area di lavoro in cui è installato Microsoft Sentinel.
4. Selezionare Rivedi e crea e quindi Crea.

Generare i dati dell'attività

Verranno ora generati alcuni dati di attività abilitando una regola inclusa nella soluzione Attività di Azure per Microsoft Sentinel. Questo passaggio illustra anche come gestire il contenuto nell'hub del contenuto.

In Microsoft Sentinel, selezionare Hub dei contenuti e cercare e selezionare il modello di regola "Distribuzione di risorse sospette" nella soluzione Attività di Azure.
Nel riquadro dei dettagli selezionare Crea regola per creare una nuova regola usando la procedura guidata per le regole di Analisi.
Nella procedura guidata di Analytics - Creare una nuova regola pianificata, cambiare lo stato in Abilitato.

In questa scheda e in tutte le altre schede della procedura guidata lasciare invariati i valori predefiniti.
Nella scheda Rivedi e crea selezionare Crea.

Visualizzare i dati inseriti in Microsoft Sentinel

Dopo aver abilitato il connettore dei dati di Attività di Azure e aver generato alcuni dati di attività, è possibile visualizzare i dati delle attività aggiunti all'area di lavoro.

In Microsoft Sentinel, selezionare Configurazione>Connettori dati e cercare e selezionare il connettore dati Attività di Azure.
Nel riquadro dei dettagli del connettore selezionare Apri pagina connettore.
Esaminare lo Stato del connettore dati. Lo stato dovrebbe essere Connesso.
Selezionare una scheda per continuare, a seconda del portale in uso:
- Portale Defender
- Portale di Azure
1. Selezionare Vai a Log Analytics per aprire la pagina Ricerca avanzata .
2. Nella parte superiore del riquadro, accanto alla scheda Nuova query , selezionare la + scheda per aggiungere una nuova query.
3. Eseguire la query seguente per visualizzare la data di attività inserita nell'area di lavoro:
```
AzureActivity
```
Per esempio:
1. Selezionare Vai a query per aprire la pagina Log nel portale di Azure.
2. Nella parte superiore del riquadro, accanto alla scheda Nuova query 1 selezionare il + per aggiungere una nuova scheda query.
3. Sul lato passare dalla modalità Semplice alla modalità KQL ed eseguire la query seguente per visualizzare la data di attività inserita nell'area di lavoro:
```
AzureActivity
```
Per esempio:

Passaggi successivi

In questa introduzione rapida, hai abilitato Microsoft Sentinel e hai installato una soluzione dall'hub dei contenuti. Configurare quindi un connettore dati per avviare l'inserimento di dati in Microsoft Sentinel. Hai anche verificato che i dati vengono inseriti visualizzando i dati nell'area di lavoro.

Se si è un nuovo cliente che è stato eseguito automaticamente l'onboarding nel portale di Defender, gli utenti accederanno a Microsoft Sentinel solo nel portale di Defender. Quando si usa la documentazione di Microsoft Sentinel, assicurarsi di selezionare la versione del portale di Defender della documentazione.

Per visualizzare i dati raccolti usando i dashboard e le cartelle di lavoro, vedere Visualizzare i dati raccolti.
Per rilevare le minacce usando le regole di analisi, vedere Esercitazione: Rilevare le minacce usando le regole di analisi in Microsoft Sentinel.