Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом кратком руководстве описано, как включить Microsoft Sentinel и установить решение из концентратора содержимого. Затем вы настроите соединитель данных для начала приема данных в Microsoft Sentinel.
Microsoft Sentinel поставляется с множеством соединителей данных для продуктов Майкрософт, таких как сервисный соединитель XDR для Microsoft Defender XDR. Можно также включить встроенные соединители для продуктов, отличных от Майкрософт, таких как Syslog или Common Event Format (CEF). В этом кратком руководстве вы будете использовать соединитель данных о действиях Azure, доступный в решении действий Azure для Microsoft Sentinel.
Сведения о подключении к Microsoft Sentinel с помощью API см. в последней поддерживаемой версии Sentinel Onboarding States.
Предварительные условия
Активная подписка Azure . Если у вас еще нет учетной записи, создайте бесплатную учетную запись перед началом работы.
Рабочая область Log Analytics. Узнайте, как создать рабочую область Log Analytics. Дополнительные сведения о рабочих областях Log Analytics см. в статье Designing your Azure Monitor Logs deployment (Планирование развертывания журналов Azure Monitor).
По умолчанию в рабочей области Log Analytics, используемой для Microsoft Sentinel, можно хранить данные 30 дней. Чтобы убедиться, что можно использовать все функции и возможности Microsoft Sentinel, требуется увеличить срок хранения до 90 дней. Настройка политик хранения и архивации данных в журналах Azure Monitor.
Разрешения:
Чтобы включить Microsoft Sentinel, вам потребуются разрешения участника в подписке, в которой размещается рабочая область Microsoft Sentinel.
Чтобы использовать Microsoft Sentinel, требуется разрешение участника Microsoft Sentinel или Microsoft Sentinel Reader в группе ресурсов, к которой принадлежит рабочая область.
Чтобы установить или управлять решениями в содержимом центре, необходима роль участника Microsoft Sentinel в группе ресурсов, к которой принадлежит рабочая область.
Microsoft Sentinel — это платная служба. Ознакомьтесь с тарифными планами и страницей цен Microsoft Sentinel.
Перед развертыванием Microsoft Sentinel в рабочей среде ознакомьтесь с действиями и предварительными условиями развертывания Microsoft Sentinel.
Включение Microsoft Sentinel
Чтобы приступить к работе, добавьте Microsoft Sentinel в существующую рабочую область или создайте новую.
Войдите на портал Azure.
Найдите и выберите элемент Microsoft Sentinel.
Нажмите кнопку создания.
Выберите имеющуюся рабочую область или создайте другую. Запускать Microsoft Sentinel можно в нескольких рабочих областях, но данные можно использовать только в одной рабочей области.
- Рабочие области по умолчанию, созданные Microsoft Defender для облака, не отображаются в списке. В этих рабочих областях невозможно установить Microsoft Sentinel.
- После развертывания в рабочей области Microsoft Sentinel не поддерживает перемещение этой рабочей области в другую группу ресурсов или подписку.
Выберите Добавить.
Подсказка
Мы рекомендуем подключить вашу рабочую область к порталу Defender для единого опыта управления операциями безопасности (SecOps) как в Microsoft Sentinel, так и в других службах безопасности Microsoft.
Если вы решили подключить рабочую область сейчас, вы можете продолжить процедуры, описанные в этой статье, на портале Defender. Дополнительные сведения см. в разделе "Подключение Microsoft Sentinel" к порталу Defender.
Установка решения из хаба контента
Центр содержимого в Microsoft Sentinel — это централизованное место для обнаружения и управления готовым контентом, включая соединители данных. Для этого краткого руководства установите решение для журнала действий Azure.
В Microsoft Sentinel выберите Центр контента.
Найдите и выберите решение Azure Activity.
- На боковой панели сведений о решении нажмите кнопку "Установить".
Настройка соединителя данных
Microsoft Sentinel принимает данные от служб и приложений, подключаясь к службе и перенаправляя события и журналы в Microsoft Sentinel. В этом быстром старте установите соединитель данных для пересылки данных об активности Azure в Microsoft Sentinel.
В Microsoft Sentinel выберите Конфигурация>Соединители данных и найдите и выберите соединитель данных действия Azure.
В области сведений о соединителе выберите Открыть страницу соединителя. Используйте инструкции на странице соединителя Azure Activity, чтобы настроить соединитель данных.
Выберите Мастер назначения политики Azure для запуска.
На вкладке "Основные сведения" задайте областьподписки и группы ресурсов, которая имеет действие для отправки в Microsoft Sentinel. Например, выберите подписку, содержащую экземпляр Microsoft Sentinel.
Перейдите на вкладку "Параметры" и задайте основную рабочую область Log Analytics. Это должна быть рабочая область, в которой установлен Microsoft Sentinel.
Нажмите кнопку Проверить и создать, а затем Создать.
Создание данных о действиях
Давайте создадим данные активности, включив правило, которое было включено в решение Azure Activity для Microsoft Sentinel. На этом шаге также показано, как управлять содержимым в концентраторе контента.
В Microsoft Sentinel выберите центр контента и найдите и выберите шаблон правила развертывания подозрительных ресурсов в решении действий Azure .
В области сведений выберите "Создать правило ", чтобы создать новое правило с помощью мастера правил аналитики.
В мастере правил Аналитики создайте новую страницу правил расписания , измените состояние на "Включено".
На этой вкладке и на всех остальных вкладках мастера оставьте значения по умолчанию.
На вкладке «Обзор и создание» выберите «Создать».
Просмотр данных, полученных в Microsoft Sentinel
Теперь, когда вы включили разъём данных активности Azure и сгенерировали некоторые данные активности, давайте посмотрим данные активности, добавленные в рабочую область.
В Microsoft Sentinel выберите Конфигурация>Соединители данных и найдите и выберите соединитель данных действия Azure.
В области сведений о соединителе выберите Открыть страницу соединителя.
Просмотрите состояние соединителя данных. Он должен быть подключен.
Выберите вкладку, чтобы продолжить, в зависимости от того, какой портал вы используете:
Выберите "Перейти к log analytics", чтобы открыть страницу Advanced Hunting.
В верхней части области, рядом с вкладкой "Создать запрос", выберите + для добавления новой вкладки запроса.
Выполните следующий запрос, чтобы просмотреть дату активности в рабочем пространстве:
AzureActivity
Рассмотрим пример.
Следующие шаги
В этом кратком руководстве описано, как включить Microsoft Sentinel и установить решение из концентратора содержимого. Затем вы настроите соединитель данных для начала загрузки данных в Microsoft Sentinel. Вы также проверили, что данные принимаются путем просмотра данных в рабочей области.
- Чтобы визуализировать собранные данные с помощью панелей мониторинга и книг, см. статью "Визуализация собранных данных".
- Сведения об обнаружении угроз с помощью правил аналитики см. в руководстве по обнаружению угроз с помощью правил аналитики в Microsoft Sentinel.