使用基于诊断设置的连接将 Microsoft Sentinel 连接到其他 Microsoft 服务
本文介绍如何使用诊断设置连接来连接到 Microsoft Sentinel。 Microsoft Sentinel 使用 Azure 基础为来自许多 Azure 和 Microsoft 365 服务和各种 Windows Server 服务的数据引入提供内置的服务到服务支持。 可以通过几种不同的方法建立这些连接。
本文中的信息通用于使用基于诊断设置的连接的数据连接器组。 其中一些类型的连接器是使用 Azure Policy 管理的。 对于这种类型的其他连接器,请使用有关独立设置的说明。
先决条件
若要使用基于诊断设置的独立连接器将数据引入 Microsoft Sentinel,必须对为 Microsoft Sentinel 启用的 Log Analytics 工作区具有读取和写入权限。
若要使用 Azure Policy 管理的基于诊断设置的连接器将数据引入 Microsoft Sentinel,还必须满足以下先决条件:
要使用 Azure Policy 将日志流式处理策略应用到资源,必须拥有策略分配范围的“所有者”角色。
根据你使用的连接器,满足以下先决条件:
数据连接器 许可、成本和其他信息 Azure 活动 此连接器现在使用诊断设置管道。 如果使用传统方法,则必须先从传统方法断开连接现有订阅,然后再设置新的 Azure 活动日志连接器。
1. 在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。 在连接器列表中,选择“Azure 活动”,然后选择右下角的“打开连接器页面”按钮。
2. 在“说明”选项卡下的“配置”部分的步骤 1 中,查看连接到旧方法的现有订阅列表,然后单击下面的“全部断开”按钮,一次性断开所有连接。
3. 按照本部分中的说明继续设置新连接器。Azure 存储帐户 存储帐户(父)资源具有每种存储类型的其他(子)资源:文件、表、队列和 blob。
为存储帐户配置诊断时,必须选择和配置以下内容:
- 父帐户资源,用于导出“事务”指标。
- 每种子存储类型的资源,用于导出所有日志和指标。
你只会看到实际为其定义了资源的存储类型。
通过基于独立诊断设置的连接器进行连接
此过程介绍如何使用基于诊断设置使用独立连接的数据连接器连接到 Microsoft Sentinel。
在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。
从数据连接器库中选择资源类型,然后在预览窗格中选择“打开连接器页面”。
在连接器页面的“配置”部分,选择打开资源配置页面的链接。
如果显示所需类型的资源列表,请选择要引入其日志的资源的链接。
从资源导航菜单中,选择“诊断设置”。
选择列表底部的“+ 添加诊断设置”。
在“诊断设置”屏幕的“诊断设置名称”字段中输入一个名称。
选中“发送到 Log Analytics”复选框。 其下面会显示两个新字段。 选择相关“订阅”和“Log Analytics 工作区”(Microsoft Sentinel 驻留的位置)。
勾选要收集的日志和指标类型的复选框。 请参阅数据连接器参考页面中的资源连接器部分中针对每种资源类型的建议选择。
选择屏幕顶部的“保存”。
有关详细信息,另请参阅 Azure Monitor 文档中的创建诊断设置以将 Azure Monitor 平台日志和指标发送到不同的目标。
通过 Azure Policy 管理的基于诊断设置的连接器进行连接
此过程介绍如何使用基于诊断设置并由 Azure Policy 管理的连接的数据连接器连接到 Microsoft Sentinel。
此类型的连接器使用 Azure Policy 将单个诊断设置配置应用于定义为范围的一个类型的资源集合。 可以在该资源的连接器页面左侧的“数据类型”下查看从给定资源类型引入的日志类型。
在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。
从数据连接器库中选择资源类型,然后在预览窗格中选择“打开连接器页面”。
在连接器页面的“配置”部分,展开在此处看到的任何扩展器,然后选择“启动 Azure Policy 分配向导”按钮。
策略分配向导随即打开,准备创建新策略,并预先填充策略名称。
在“基本”选项卡中,选择“范围”下的省略号按钮,选择你的订阅(或资源组)。 还可以添加说明。
在“参数”选项卡中:
- 清除“仅显示需要输入的参数”复选框。
- 如果看到“效果”和“设置名称”字段,请按原样保留。
- 从“Log Analytics 工作区”下拉列表中选择你的 Microsoft Sentinel 工作区。
- 其余的下拉字段表示可用的诊断日志类型。 将要引入的所有日志类型保持标记为“True”。
此策略将应用于将来添加的资源。 若也要对现有资源应用该策略,请选择“修正”选项卡,然后勾选“创建修正任务”复选框。
在“查看 + 创建”选项卡中,单击“创建”。 你的策略现已分配给所选的作用域。
对于此类型的数据连接器,仅当在过去 14 天内的某个时间点引入数据时,连接状态指示器(数据连接器库中的色带以及数据类型名称旁边的连接图标)才显示为已连接(绿色)。 一旦 14 天过去但未引入数据,连接器将显示为已断开连接。 在有更多数据引入的那一刻,连接器将重新变为已连接状态。
可以使用数据连接器参考页面中的资源连接器部分中出现的表名查找和查询每种资源类型的数据。 有关详细信息,请参阅 Azure Monitor 文档中的创建诊断设置以将 Azure Monitor 平台日志和指标发送到不同的目标。
相关内容
有关详细信息,请参阅: