共用方式為

加入 Microsoft Sentinel

重要

注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。

在本快速入门中,你将启用 Microsoft Sentinel 并从内容中心安装解决方案。 然后,设置数据连接器以开始将数据引入 Microsoft Sentinel。

Microsoft Sentinel 附带许多适用于 Microsoft 产品的数据连接器,例如,Office 365 服务到服务连接器。 还可以启用面向非 Microsoft 产品(例如 Syslog 或通用事件格式 [CEF])的内置连接器。 对于本快速入门,你将使用 Microsoft Sentinel 的 Azure 活动解决方案中提供的 Azure 活动数据连接器。

若要使用 API 载入到 Microsoft Sentinel,请参阅 Sentinel Onboarding States 阅最新支持的版本。

先决条件

  • 有效的 Azure 订阅。 如果没有订阅,请在开始之前创建一个试用帐户

  • Log Analytics 工作区。 了解如何创建 Log Analytics 工作区。 有关 Log Analytics 工作区的详细信息,请参阅设计 Azure 监视日志部署

    在用于 Microsoft Sentinel 的 Log Analytics 工作区中,你可能有默认 30 天的保留期。 若要确保你可以使用所有 Microsoft Sentinel 功能和特性,请将保留期提高到 90 天。 在 Azure Monitor 日志中配置数据保留和存档策略

  • 权限

    • 若要启用 Microsoft Sentinel,需要获取 Microsoft Sentinel 工作区所在订阅的参与者权限。

    • 若要使用 Microsoft Sentinel,需要获取工作区所属资源组的 Microsoft Sentinel 参与者Microsoft Sentinel 读者权限。

    • 要在内容中心安装或管理解决方案,需要在工作区所属的资源组上具有 Microsoft Sentinel 参与者角色。

  • Microsoft Sentinel 是付费服务。 查看 Microsoft Sentinel 定价页

  • 在将 Microsoft Sentinel 部署到生产环境之前,请查看部署 Microsoft Sentinel 的预部署活动和先决条件

启用 Microsoft Sentinel

如果要开始,请将 Microsoft Sentinel 添加到现有工作区或创建新工作区。

  1. 登录 Azure 门户

  2. 搜索“Microsoft Sentinel”并将其选中。

    启用 Microsoft Sentinel 时搜索服务的屏幕截图。

  3. 选择创建

  4. 选择要使用的工作区,或创建新工作区。 可以在多个工作区上运行 Microsoft Sentinel,但数据与单个工作区隔离。

    启用 Microsoft Sentinel 时选择工作区的屏幕截图。

    • 列表中未显示由 Microsoft Defender for Cloud 创建的默认工作区。 你无法在这些工作区上安装 Microsoft Sentinel。
    • 部署在工作区上后,Microsoft Sentinel 不支持将该工作区移至其他资源组或订阅。

  5. 选择 添加

从内容中心安装解决方案

Microsoft Sentinel 中的内容中心是用于发现和管理现成内容(包括数据连接器)的集中位置。 对于本快速入门,请安装适用于 Azure 活动的解决方案。

  1. 在 Microsoft Sentinel 中,选择“内容中心”。

  2. 查找并选择“Azure 活动”解决方案。

    Azure 门户中内容中心的屏幕截图,其中选择了 Azure 活动的解决方案。

  3. 在右侧的解决方案详细信息窗格中,选择“ 安装”。

设置数据连接器

Microsoft Sentinel 连接到服务并将事件和日志转发到 Microsoft Sentinel,以便引入服务和应用中的数据。 对于本快速入门,请安装数据连接器以将 Azure 活动的数据转发到 Microsoft Sentinel。

  1. 在 Microsoft Sentinel 中,选择“数据连接器”。

  2. 搜索并选择“Azure 活动”数据连接器。

  3. 在连接器的详细信息窗格中,选择“打开连接器页面”。

  4. 查看用于配置连接器的说明。

生成活动数据

让我们通过启用 Microsoft Sentinel 的 Azure 活动解决方案中包含的规则来生成一些活动数据。 此步骤还演示了如何管理内容中心的内容。

  1. 在 Microsoft Sentinel 中,选择内容中心,然后在 Azure 活动解决方案中搜索并选择可疑资源部署规则模板。

  2. 在详细信息窗格中,选择“ 创建规则 ”以使用 Analytics 规则向导创建新规则

  3. “分析规则向导 - 创建新的计划规则 ”页中,将 “状态 ”更改为 “已启用”。

    在此选项卡上和向导中的所有其他选项卡上,保留默认值。

  4. 在“查看 + 创建”选项卡中选择“创建”。

查看引入到 Microsoft Sentinel 中的数据

现在,你已启用 Azure 活动数据连接器并生成了一些活动数据,接下来请查看添加到工作区的活动数据。

  1. 在 Microsoft Sentinel 中,选择 “配置”>数据连接器,然后搜索并选择 “Azure 活动”数据连接器

  2. 在“连接器详细信息”窗格中,选择“ 打开连接器”页

  3. 查看数据连接器的状态。 它应为“已连接”。

    Azure 活动的数据连接器屏幕截图,其中状态显示为“已连接”。

  4. 选择 转到查询 以在 Azure 门户中打开 日志 页。

  5. 在窗格顶部的“新建查询 1”选项卡旁边,选择“+”以添加新的查询选项卡。

  6. 在查询窗格中,运行以下查询以查看引入到工作区中的活动日期。

     AzureActivity

    Azure 门户“日志”页中 AzureActivity 查询的屏幕截图。

后续步骤

在本快速入门中,你启用了 Microsoft Sentinel,并从内容中心安装了解决方案。 然后,你设置了数据连接器以开始将数据引入 Microsoft Sentinel。 你还通过查看工作区中的数据验证了是否正在引入数据。