共用方式為

加入 Microsoft Sentinel

重要

注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。

在本快速入门中,你将启用 Microsoft Sentinel 并从内容中心安装解决方案。 然后,设置数据连接器以开始将数据引入 Microsoft Sentinel。

Microsoft Sentinel 附带许多适用于 Microsoft 产品的数据连接器,例如,Office 365 服务到服务连接器。 还可以启用面向非 Microsoft 产品(例如 Syslog 或通用事件格式 [CEF])的内置连接器。 对于本快速入门,你将使用 Microsoft Sentinel 的 Azure 活动解决方案中提供的 Azure 活动数据连接器。

若要使用 API 载入到 Microsoft Sentinel,请参阅 Sentinel Onboarding States 阅最新支持的版本。

先决条件

  • 有效的 Azure 订阅。 如果没有订阅,请在开始之前创建一个试用帐户

  • 权限

    • 若要启用 Microsoft Sentinel,需要获取 Microsoft Sentinel 工作区所在订阅的参与者权限。

    • 若要使用 Microsoft Sentinel,需要获取工作区所属资源组的 Microsoft Sentinel 参与者Microsoft Sentinel 读者权限。

    • 要在内容中心安装或管理解决方案,需要在工作区所属的资源组上具有 Microsoft Sentinel 参与者角色。

  • Microsoft Sentinel 是付费服务。 查看 Microsoft Sentinel 定价页

  • 在将 Microsoft Sentinel 部署到生产环境之前,请查看部署 Microsoft Sentinel 的预部署活动和先决条件

创建 Log Analytics 工作区

Microsoft Sentinel 必须添加到工作区。 如果已有 Log Analytics 工作区,请跳到 将 Microsoft Sentinel 添加到 Log Analytics 工作区。 如果还没有 Log Analytics 工作区,可以使用下面的说明创建一个,或者,有关更详细的说明,请转到 “创建 Log Analytics 工作区”。 有关 Log Analytics 工作区的详细信息,请参阅设计 Azure 监视日志部署

在用于 Microsoft Sentinel 的 Log Analytics 工作区中,默认 保留期为 30 天 。 若要确保你可以使用所有 Microsoft Sentinel 功能和特性,请将保留期提高到 90 天。 在 Azure Monitor 日志中配置数据保留和存档策略

  1. 登录 Azure 门户

  2. 搜索“Microsoft Sentinel”并将其选中。
    从 Azure 门户搜索并选择Microsoft Sentinel 的屏幕截图。

  3. 选择创建 选择“创建”开始创建新的 Log Analytics 工作区的屏幕截图。

  4. 选择“ 创建新工作区”。 选择“创建新工作区”的屏幕截图。

  5. “订阅>资源组”下,选择“ 新建”。 输入资源组的名称,然后选择“ 确定”。 创建 Log Analytics 工作区屏幕的屏幕截图。在“订阅”和“资源组”下,已选择“新建”。

  6. 为工作区指定一个名称并选择一个区域,然后选择“ 查看 + 创建”。 (请参阅 Log Analytics 在哪些区域中可用

  7. 验证通过后,选择“ 创建”。 等待部署完成。

将 Microsoft Sentinel 添加到 Log Analytics 工作区

  1. Azure 门户中,搜索并选择 Microsoft Sentinel

  2. 选择创建 选择“创建”以创建新的 Log Analytics 工作区的屏幕截图。

  3. 选择要使用的工作区,然后选择“ 添加”。 可以在多个工作区上运行 Microsoft Sentinel,但数据与单个工作区隔离。

    • 列表中未显示由 Microsoft Defender for Cloud 创建的默认工作区。 你无法在这些工作区上安装 Microsoft Sentinel。
    • 部署在工作区上后,Microsoft Sentinel 不支持将该工作区移至其他资源组或订阅。

从内容中心安装解决方案

Microsoft Sentinel 中的内容中心是用于发现和管理现成内容(包括数据连接器)的集中位置。 对于本快速入门,请安装适用于 Azure 活动的解决方案。

  1. 在 Microsoft Sentinel 中,选择“内容中心”。

  2. 查找并选择“Azure 活动”解决方案。

    Azure 门户中内容中心的屏幕截图,其中选择了 Azure 活动的解决方案。

  3. 在右侧的解决方案详细信息窗格中,选择“ 安装”。

设置数据连接器

Microsoft Sentinel 连接到服务并将事件和日志转发到 Microsoft Sentinel,以便引入服务和应用中的数据。 对于本快速入门,请安装数据连接器以将 Azure 活动的数据转发到 Microsoft Sentinel。

  1. 在 Microsoft Sentinel 中,选择“数据连接器”。

  2. 搜索并选择“Azure 活动”数据连接器。

  3. 在连接器的详细信息窗格中,选择“打开连接器页面”。

  4. 查看用于配置连接器的说明。

生成活动数据

让我们通过启用 Microsoft Sentinel 的 Azure 活动解决方案中包含的规则来生成一些活动数据。 此步骤还演示了如何管理内容中心的内容。

  1. 在 Microsoft Sentinel 中,选择内容中心,然后在 Azure 活动解决方案中搜索并选择可疑资源部署规则模板。

  2. 在详细信息窗格中,选择“ 创建规则 ”以使用 Analytics 规则向导创建新规则

  3. “分析规则向导 - 创建新的计划规则 ”页中,将 “状态 ”更改为 “已启用”。

    在此选项卡上和向导中的所有其他选项卡上,保留默认值。

  4. 在“查看 + 创建”选项卡中选择“创建”。

查看引入到 Microsoft Sentinel 中的数据

现在,你已启用 Azure 活动数据连接器并生成了一些活动数据,接下来请查看添加到工作区的活动数据。

  1. 在 Microsoft Sentinel 中,选择 “配置”>数据连接器,然后搜索并选择 “Azure 活动”数据连接器

  2. 在“连接器详细信息”窗格中,选择“ 打开连接器”页

  3. 查看数据连接器的状态。 它应为“已连接”。

    Azure 活动的数据连接器屏幕截图,其中状态显示为“已连接”。

  4. 选择 转到查询 以在 Azure 门户中打开 日志 页。

  5. 在窗格顶部的“新建查询 1”选项卡旁边,选择“+”以添加新的查询选项卡。

  6. 在查询窗格中,运行以下查询以查看引入到工作区中的活动日期。

     AzureActivity
    

    Azure 门户“日志”页中 AzureActivity 查询的屏幕截图。

后续步骤

在本快速入门中,你启用了 Microsoft Sentinel,并从内容中心安装了解决方案。 然后,你设置了数据连接器以开始将数据引入 Microsoft Sentinel。 你还通过查看工作区中的数据验证了是否正在引入数据。