快速入门:加入 Microsoft Sentinel

  • 项目

在本快速入门中,你将启用 Microsoft Sentinel 并从内容中心安装解决方案。 然后,设置数据连接器以开始将数据引入 Microsoft Sentinel。

Microsoft Sentinel 附带许多适用于 Microsoft 产品的数据连接器,例如,Office 365 服务到服务连接器。 还可以启用面向非 Microsoft 产品(例如 Syslog 或通用事件格式 [CEF])的内置连接器。 对于本快速入门,你将使用 Microsoft Sentinel 的 Azure 活动解决方案中提供的 Azure 活动数据连接器。

先决条件

  • 有效的 Azure 订阅。 如果没有订阅,请在开始之前创建一个试用帐户

  • Log Analytics 工作区。 了解如何创建 Log Analytics 工作区。 有关 Log Analytics 工作区的详细信息,请参阅设计 Azure 监视日志部署

    在用于 Microsoft Sentinel 的 Log Analytics 工作区中,你可能有默认 30 天的保留期。 若要确保你可以使用所有 Microsoft Sentinel 功能和特性,请将保留期提高到 90 天。 在 Azure Monitor 日志中配置数据保留和存档策略

  • 权限

    • 若要启用 Microsoft Sentinel,需要获取 Microsoft Sentinel 工作区所在订阅的参与者权限。

    • 若要使用 Microsoft Sentinel,需要获取工作区所属资源组的 Microsoft Sentinel 参与者Microsoft Sentinel 读者权限。

    • 要在内容中心安装或管理解决方案,需要在工作区所属的资源组上具有 Microsoft Sentinel 参与者角色。

  • Microsoft Sentinel 是付费服务。 查看 Microsoft Sentinel 定价页

  • 在将 Microsoft Sentinel 部署到生产环境之前,请查看部署 Microsoft Sentinel 的预部署活动和先决条件

启用 Microsoft Sentinel

如果要开始,请将 Microsoft Sentinel 添加到现有工作区或创建新工作区。

  1. 登录 Azure 门户

  2. 搜索“Microsoft Sentinel”并将其选中。

    启用 Microsoft Sentinel 时搜索服务的屏幕截图。

  3. 选择创建

  4. 选择要使用的工作区,或创建新工作区。 可在多个工作区上运行 Microsoft Sentinel,但将数据隔离到单个工作区。

    启用 Microsoft Sentinel 时选择工作区的屏幕截图。

    • 列表中未显示由 Microsoft Defender for Cloud 创建的默认工作区。 你无法在这些工作区上安装 Microsoft Sentinel。
    • 部署在工作区上后,Microsoft Sentinel 不支持将该工作区移至其他资源组或订阅。

  5. 选择 添加

除了使用门户外,还有一种替代方法是使用 API 请求(通过调用 OnboardingStates ARM api)加入到 Microsoft Sentinel。

从内容中心安装解决方案

Microsoft Sentinel 中的内容中心是用于发现和管理现成内容(包括数据连接器)的集中位置。 对于本快速入门,请安装适用于 Azure 活动的解决方案。

  1. 在 Microsoft Sentinel 中,选择“内容中心”。

  2. 查找并选择“Azure 活动”解决方案。

    内容中心的屏幕截图,其中已选择适用于 Azure 活动的解决方案。

  3. 在页面顶部的工具栏上,选择安装/更新”。

设置数据连接器

Microsoft Sentinel 连接到服务并将事件和日志转发到 Microsoft Sentinel,以便引入服务和应用中的数据。 对于本快速入门,请安装数据连接器以将 Azure 活动的数据转发到 Microsoft Sentinel。

  1. 在 Microsoft Sentinel 中,选择“数据连接器”。

  2. 搜索并选择“Azure 活动”数据连接器。

  3. 在连接器的详细信息窗格中,选择“打开连接器页面”。

  4. 查看用于配置连接器的说明。

生成活动数据

让我们通过启用 Microsoft Sentinel 的 Azure 活动解决方案中包含的规则来生成一些活动数据。 此步骤还演示了如何管理内容中心的内容。

  1. 在 Microsoft Sentinel 中,选择“内容中心”。

  2. 查找并选择“Azure 活动”解决方案。

  3. 在右侧窗格中,选择“管理”。

  4. 查找并选择规则模板“可疑资源部署”。

  5. 选择“配置”。

  6. 选择规则并创建规则

  7. 在“常规”选项卡上,将“状态”更改为“已启用”。 将其他字段保留为默认值。

  8. 接受其他选项卡上的默认值。

  9. 在“查看 + 创建”选项卡中选择“创建”。

查看引入到 Microsoft Sentinel 中的数据

现在,你已启用 Azure 活动数据连接器并生成了一些活动数据,接下来请查看添加到工作区的活动数据。

  1. 在 Microsoft Sentinel 中,选择“数据连接器”。

  2. 搜索并选择“Azure 活动”数据连接器。

  3. 在连接器的详细信息窗格中,选择“打开连接器页面”。

  4. 查看数据连接器的状态。 它应为“已连接”。

    Azure 活动的数据连接器屏幕截图,其中状态显示为“已连接”。

  5. 在图表上方的左侧窗格中,选择“转到日志分析”。

  6. 在窗格顶部的“新建查询 1”选项卡旁边,选择“+”以添加新的查询选项卡。

  7. 在查询窗格中,运行以下查询以查看引入到工作区中的活动日期。

     AzureActivity

    日志查询窗口的屏幕截图,其中带有 Azure 活动查询返回的结果。

后续步骤

在本快速入门中,你启用了 Microsoft Sentinel,并从内容中心安装了解决方案。 然后,你设置了数据连接器以开始将数据引入 Microsoft Sentinel。 你还通过查看工作区中的数据验证了是否正在引入数据。