Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом кратком руководстве описано, как включить Microsoft Sentinel и установить решение из центра содержимого. Затем вы настроите соединитель данных, чтобы начать прием данных в Microsoft Sentinel.
Microsoft Sentinel поставляется со многими соединителями данных для продуктов Майкрософт, таких как соединитель Microsoft Defender XDR между службами. Вы также можете включить встроенные соединители для продуктов сторонних продуктов, таких как Системный журнал или Общий формат событий (CEF). В этом кратком руководстве вы будете использовать соединитель данных действия Azure, доступный в решении действия Azure для Microsoft Sentinel.
Сведения о подключении к Microsoft Sentinel с помощью API см. в последней поддерживаемой версии Sentinel состояния подключения.
Предварительные условия
Активная подписка Azure. Если у вас ее нет, создайте бесплатную учетную запись перед началом работы.
Разрешения.
Чтобы включить Microsoft Sentinel, необходимо участник разрешения для подписки, в которой находится рабочая область Microsoft Sentinel.
Для использования Microsoft Sentinel требуются разрешения Microsoft Sentinel участник или Microsoft Sentinel читатель в группе ресурсов, к которой принадлежит рабочая область.
Для установки решений в центре содержимого или управления ими требуется роль участника Microsoft Sentinel в группе ресурсов, к которой принадлежит рабочая область.
Если вы являетесь новым клиентом Microsoft Sentinel и имеете разрешения владельца подписки или администратора доступа пользователей, ваша рабочая область автоматически подключена к порталу Defender. Пользователи таких рабочих областей используют Microsoft Sentinel только на портале Defender.
Microsoft Sentinel является платной услугой. Просмотрите варианты ценообразования и страницу Microsoft Sentinel цен.
Перед развертыванием Microsoft Sentinel в рабочей среде ознакомьтесь с действиями перед развертыванием и предварительными условиями для развертывания Microsoft Sentinel.
Создание рабочей области Log Analytics
Microsoft Sentinel необходимо добавить в рабочую область. Если у вас уже есть рабочая область Log Analytics, перейдите к добавлению Microsoft Sentinel в рабочую область Log Analytics. Если у вас еще нет рабочей области Log Analytics, ее можно создать с помощью приведенных ниже инструкций или более подробного объяснения см. в статье Создание рабочей области Log Analytics. Дополнительные сведения о рабочих областях Log Analytics см. в статье Проектирование развертывания журналов Azure мониторинга.
По умолчанию в рабочей области Log Analytics, используемой для Microsoft Sentinel, может быть 30 дней хранения. Чтобы убедиться, что вы можете использовать все функции и функции Microsoft Sentinel, повысьте срок хранения до 90 дней. Настройка политик хранения и архивации данных в журналах мониторинга Azure.
Войдите на портал Azure.
Найдите и выберите Microsoft Sentinel.
Нажмите Создать.
Выберите Создать рабочую область.
В разделеГруппа ресурсовподписки> выберите Создать. Введите имя группы ресурсов и нажмите кнопку ОК.
Присвойте рабочей области имя и выберите регион, а затем выберите Просмотр и создание. (Узнайте , в каких регионах доступна служба Log Analytics.)
После прохождения проверки нажмите кнопку Создать. Дождитесь завершения развертывания.
Добавление Microsoft Sentinel в рабочую область Log Analytics
На портал Azure найдите и выберите Microsoft Sentinel.
Нажмите Создать.
Выберите рабочую область, которую вы хотите использовать, и нажмите кнопку Добавить. Вы можете запустить Microsoft Sentinel в нескольких рабочих областях, но данные изолированы в одной рабочей области.
- Рабочие области по умолчанию, созданные Microsoft Defender для облака, не отображаются в списке. Вы не можете установить Microsoft Sentinel в этих рабочих областях.
- После развертывания в рабочей области Microsoft Sentinel не поддерживает перемещение этой рабочей области в другую группу ресурсов или подписку.
Примечание.
Если ваша рабочая область не подключена к порталу Defender автоматически, рекомендуется подключиться к единому интерфейсу управления операциями безопасности (SecOps) как в Microsoft Sentinel, так и в других службах безопасности Майкрософт. Дополнительные сведения см. в разделе Подключение Microsoft Sentinel к порталу Defender.
Если ваша рабочая область автоматически подключена или вы решили подключить рабочую область сейчас, вы можете продолжить процедуры, описанные в этой статье, на портале Defender. Если вы впервые используете портал Defender, процесс завершится с задержкой в несколько минут.
Доступ к Microsoft Sentinel на портале Defender
Чтобы получить доступ к Microsoft Sentinel на портале Defender, выполните следующие действия:
Войдите на портал Defender.
При первом доступе к порталу Defender потребуется некоторое время для подготовки клиента.
После подготовки вы увидите, Microsoft Sentinel доступны в области навигации, в которую вложены Microsoft Sentinel узлы. Например, вы можете:
Прокрутите вниз в области навигации и выберите Параметры > Microsoft Sentinel > Рабочие области, чтобы просмотреть рабочие области, подключенные к порталу Defender и доступные вам.
Портал Defender поддерживает несколько рабочих областей, при этом одна рабочая область выступает в качестве основной рабочей области для каждого клиента. Дополнительные сведения см. в разделе Несколько рабочих областей Microsoft Sentinel на портале Defender и Microsoft Defender мультитенантное управление.
Установка решения из концентратора содержимого
Центр содержимого в Microsoft Sentinel — это централизованное расположение для обнаружения и управления встроенным содержимым, включая соединители данных. В этом кратком руководстве установите решение для действия Azure.
В Microsoft Sentinel перейдите на страницу Центр содержимого, найдите и выберите решение действия Azure.
На боковой панели сведений о решении выберите Установить.
Настройка соединителя данных
Microsoft Sentinel прием данных из служб и приложений путем подключения к службе и перенаправления событий и журналов в Microsoft Sentinel. В этом кратком руководстве установите соединитель данных для пересылки данных для действия Azure в Microsoft Sentinel.
В Microsoft Sentinel выберитеСоединители данныхконфигурации> и найдите и выберите соединитель данных действия Azure.
В области сведений о соединителе выберите Открыть страницу соединителя. Используйте инструкции на странице соединителя действия Azure, чтобы настроить соединитель данных.
Выберите Запустить мастер назначений Политика Azure.
На вкладке Основные сведения задайте в поле Область подписку и группу ресурсов, в которые есть действие, отправляемые в Microsoft Sentinel. Например, выберите подписку, содержащую экземпляр Microsoft Sentinel.
Перейдите на вкладку Параметры и задайте рабочую область Primary Log Analytics. Это должна быть рабочая область, в которой установлена Microsoft Sentinel.
Выберите Просмотр и создание и Создание.
Создание данных о действиях
Давайте создадим некоторые данные о действиях, включив правило, которое было включено в решение действия Azure для Microsoft Sentinel. На этом шаге также показано, как управлять содержимым в центре содержимого.
В Microsoft Sentinel выберите Центр содержимого и найдите и выберите шаблон правила развертывания подозрительных ресурсов в решении Azure Activity.
В области сведений выберите Создать правило , чтобы создать новое правило с помощью мастера правил аналитики.
В мастере правил аналитики — создание нового правила по расписанию измените состояние на Включено.
На этой вкладке и на всех остальных вкладках мастера оставьте значения по умолчанию.
На вкладке Просмотр и создание выберите Создать.
Просмотр данных, передаваемых в Microsoft Sentinel
Теперь, когда вы включили соединитель данных действия Azure и создали некоторые данные о действиях, давайте рассмотрим данные о действиях, добавленные в рабочую область.
В Microsoft Sentinel выберитеСоединители данныхконфигурации> и найдите и выберите соединитель данных действия Azure.
В области сведений о соединителе выберите Открыть страницу соединителя.
Проверьте состояние соединителя данных. Он должен быть подключен.
Выберите вкладку для продолжения в зависимости от того, какой портал вы используете:
Выберите Перейти к log analytics, чтобы открыть страницу Расширенная охота .
В верхней части панели рядом с вкладкой Новый запрос выберите вкладку + , чтобы добавить новый запрос.
Выполните следующий запрос, чтобы просмотреть дату действия, попадаемую в рабочую область:
AzureActivity
Например, вы можете:
Дальнейшие действия
В этом кратком руководстве вы включили Microsoft Sentinel и установили решение из концентратора содержимого. Затем вы настроите соединитель данных, чтобы начать прием данных в Microsoft Sentinel. Вы также проверили, что данные принимаются, просмотрев данные в рабочей области.
Если вы новый клиент, который автоматически подключен к порталу Defender, ваши пользователи будут обращаться к Microsoft Sentinel только на портале Defender. При использовании документации по Microsoft Sentinel обязательно выберите версию документации на портале Defender.
- Сведения о визуализации данных, собранных с помощью панелей мониторинга и книг, см. в статье Визуализация собранных данных.
- Сведения об обнаружении угроз с помощью правил аналитики см. в статье Руководство по обнаружению угроз с помощью правил аналитики в Microsoft Sentinel.