Guida introduttiva: Eseguire l'onboarding in Microsoft Azure Sentinel

Articolo
2025-04-30

In questa guida introduttiva verrà abilitato Microsoft Sentinel e verrà installata una soluzione dall'hub dei contenuti. Quindi, si configurerà un connettore dati per avviare l'inserimento di dati in Microsoft Sentinel.

Il Microsoft Sentinel include molti connettori dati per prodotti Microsoft, ad esempio il connettore da servizio a servizio di Microsoft Defender XDR. È anche possibile abilitare connettori predefiniti per prodotti non Microsoft, ad esempio Syslog o Common Event Format (CEF). Per questo avvio rapido, si userà il connettore dati di Attività di Azure disponibile nella soluzione Attività di Azure per Microsoft Sentinel.

Per eseguire l’onboarding in Microsoft Sentinel usando l’API, vedere la versione più recente supportata degli stati di onboarding di Sentinel.

Prerequisiti

Attivare sottoscrizione di Azure. Se non se ne dispone, creare un account gratuito prima di iniziare.
Area di lavoro Log Analytics. Informazioni su come creare un'area di lavoro Log Analytics. Per altre informazioni sulle aree di lavoro Log Analytics, vedere Progettazione della distribuzione dei log di Monitoraggio di Azure.

È possibile avere un valore predefinito di 30 giorni di conservazione nell'area di lavoro Log Analytics usata per Microsoft Sentinel. Per assicurarsi di poter usare tutte le funzionalità e le funzionalità di Microsoft Sentinel, aumentare la conservazione a 90 giorni. Configurare i criteri di conservazione e archiviazione dei dati nei log di Monitoraggio di Azure.
Autorizzazioni:
- Per abilitare Microsoft Sentinel sono necessarie le autorizzazioni di Collaboratore per la sottoscrizione in cui risiede l'area di lavoro di Microsoft Sentinel.
- Per usare Microsoft Sentinel, è necessario un Collaboratore di Microsoft Sentinel o delle autorizzazioni di lettura di Microsoft Sentinel per il gruppo di risorse a cui appartiene l'area di lavoro.
- Per installare o gestire soluzioni nell'hub del contenuto, è necessario il ruolo di Collaboratore di Microsoft Sentinel nel gruppo di risorse a cui appartiene l'area di lavoro.
Microsoft Sentinel è un servizio a pagamento. Esaminare le opzioni dei prezzi e la pagina dei prezzi di Microsoft Sentinel.
Prima di distribuire Microsoft Sentinel in un ambiente di produzione, esaminare le attività di pre-distribuzione e i prerequisiti per la distribuzione di Microsoft Sentinel.

Abilitare Microsoft Sentinel

Per iniziare, aggiungere Microsoft Sentinel a un'area di lavoro esistente o crearne una nuova.

Accedere al portale di Azure.
Cercare e selezionare Microsoft Sentinel.
Seleziona Crea.
Selezionare l'area di lavoro da usare o crearne una nuova. È possibile eseguire Microsoft Sentinel in più di un'area di lavoro, ma i dati sono isolati in una singola area di lavoro.
- Le aree di lavoro predefinite create da Microsoft Defender per il cloud non vengono visualizzate nell'elenco. Non è possibile installare Microsoft Sentinel in queste aree di lavoro.
- Dopo la distribuzione in un'area di lavoro, Microsoft Sentinel non supporta spostare l'area di lavoro in un altro gruppo di risorse o in un'altra sottoscrizione.
Selezionare Aggiungi.

Suggerimento

È consigliabile eseguire l'onboarding dell'area di lavoro nel portale di Defender per un'esperienza unificata nella gestione delle operazioni di sicurezza (SecOps) in Microsoft Sentinel e in altri servizi di sicurezza Microsoft.

Se si decide di eseguire ora l'onboarding dell'area di lavoro, è possibile continuare le procedure descritte in questo articolo dal portale di Defender. Per altre informazioni, vedere Eseguire l'onboarding di Microsoft Sentinel nel portale di Defender.

Installare una soluzione dall'hub dei contenuti

L'hub dei contenuti in Microsoft Sentinel è la posizione centralizzata per individuare e gestire contenuti predefiniti, compresi i connettori dati. Per questa guida introduttiva, installare la soluzione per Attività di Azure.

In Microsoft Sentinel selezionare Hub dei contenuti.
Trovare e selezionare la soluzione Attività di Azure.
- Portale di Azure
- Portale Defender

Nel riquadro dei dettagli della soluzione sul lato selezionare Installa.

Configurare il connettore dati

Microsoft Sentinel inserisce i dati da app e servizi connettendosi al servizio e inoltrando gli eventi e i log a Microsoft Sentinel. Per questo avvio rapido, installa il connettore dati per inoltrare i dati delle attività di Azure a Microsoft Sentinel.

In Microsoft Sentinel, selezionare Configurazione>Connettori dati e cercare e selezionare il connettore dati Attività di Azure.
Nel riquadro dei dettagli del connettore selezionare Apri pagina connettore. Seguire le istruzioni nella pagina del connettore di Attività di Azure per configurare il connettore dati.
1. Selezionare Avvia la procedura guidata di assegnazione dei criteri di Azure.
2. Nella scheda Informazioni di base impostare l'ambito sulla sottoscrizione e sul gruppo di risorse con attività da inviare a Microsoft Sentinel. Ad esempio, selezionare la sottoscrizione che contiene l'istanza di Microsoft Sentinel.
3. Selezionare la scheda Parametri e impostare l'area di lavoro Log Analytics primaria. Deve trattarsi dell'area di lavoro in cui è installato Microsoft Sentinel.
4. Selezionare Rivedi e crea e quindi Crea.

Generare i dati dell'attività

Verranno ora generati alcuni dati di attività abilitando una regola inclusa nella soluzione Attività di Azure per Microsoft Sentinel. Questo passaggio illustra anche come gestire il contenuto nell'hub del contenuto.

In Microsoft Sentinel, selezionare Hub dei contenuti e cercare e selezionare il modello di regola "Distribuzione di risorse sospette" nella soluzione Attività di Azure.
Nel riquadro dei dettagli selezionare Crea regola per creare una nuova regola usando la procedura guidata per le regole di Analisi.
Nella procedura guidata di Analytics - Creare una nuova regola pianificata, cambiare lo stato in Abilitato.

In questa scheda e in tutte le altre schede della procedura guidata lasciare invariati i valori predefiniti.
Nella scheda Rivedi e crea selezionare Crea.

Visualizzare i dati inseriti in Microsoft Sentinel

Dopo aver abilitato il connettore dei dati di Attività di Azure e aver generato alcuni dati di attività, è possibile visualizzare i dati delle attività aggiunti all'area di lavoro.

In Microsoft Sentinel, selezionare Configurazione>Connettori dati e cercare e selezionare il connettore dati Azure Activity.
Nel riquadro dei dettagli del connettore selezionare Apri pagina connettore.
Esaminare lo Stato del connettore dati. Lo stato dovrebbe essere Connesso.
Selezionare una scheda per continuare, a seconda del portale in uso:
- Portale di Azure
- Portale Defender
1. Selezionare Vai a query per aprire la pagina Log nel portale di Azure.
2. Nella parte superiore del riquadro, accanto alla scheda Nuova query 1 selezionare il + per aggiungere una nuova scheda query.
3. Sul lato passare dalla modalità Semplice alla modalità KQL ed eseguire la query seguente per visualizzare la data di attività inserita nell'area di lavoro:
```
AzureActivity
```
Per esempio:
1. Selezionare Vai a Log Analytics per aprire la pagina Ricerca avanzata .
2. Nella parte superiore del riquadro, accanto alla scheda Nuova query , selezionare la + scheda per aggiungere una nuova query.
3. Eseguire la query seguente per visualizzare la data di attività inserita nell'area di lavoro:
```
AzureActivity
```
Per esempio:

Passaggi successivi

In questa introduzione rapida, hai abilitato Microsoft Sentinel e hai installato una soluzione dall'hub dei contenuti. Configurare quindi un connettore dati per avviare l'inserimento di dati in Microsoft Sentinel. Hai anche verificato che i dati vengono inseriti visualizzando i dati nell'area di lavoro.

Per visualizzare i dati raccolti usando i dashboard e le cartelle di lavoro, vedere Visualizzare i dati raccolti.
Per rilevare le minacce usando le regole di analisi, vedere Esercitazione: Rilevare le minacce usando le regole di analisi in Microsoft Sentinel.

Condividi tramite