Dela via

Aktivera Microsoft Sentinel

I den här snabbstarten aktiverar du Microsoft Sentinel och installerar en lösning från innehållshubben. Sedan konfigurerar du en dataanslutning för att börja mata in data i Microsoft Sentinel.

Microsoft Sentinel levereras med många dataanslutningar för Microsoft-produkter, till exempel Microsoft Defender XDR service-to-service-anslutningsappen. Du kan också aktivera inbyggda anslutningar för produkter som inte kommer från Microsoft, till exempel Syslog eller Common Event Format (CEF). I den här snabbstarten använder du azure-aktivitetsdataanslutningen som är tillgänglig i Azure Activity-lösningen för Microsoft Sentinel.

För att komma igång med Microsoft Sentinel med hjälp av API:et, se den senaste versionen av Sentinel Onboarding States som stöds.

Förutsättningar

  • Aktiv Azure-prenumeration. Om du inte har ett konto kan du skapa ett kostnadsfritt konto innan du börjar.

  • Behörigheter:

    • För att aktivera Microsoft Sentinel behöver du deltagarbehörighet till prenumerationen där Microsoft Sentinel-arbetsytan finns.

    • Om du vill använda Microsoft Sentinel behöver du antingen Behörigheter för Microsoft Sentinel-deltagare eller Microsoft Sentinel-läsare för den resursgrupp som arbetsytan tillhör.

    • Om du vill installera eller hantera lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare i den resursgrupp som arbetsytan tillhör.

    • Om du är en ny Microsoft Sentinel-kund och har behörigheter som prenumerationsägare eller administratör för användaråtkomst registreras arbetsytan automatiskt på Defender-portalen. Användare av sådana arbetsytor använder endast Microsoft Sentinel i Defender-portalen .

  • Microsoft Sentinel är en betald tjänst. Granska prisalternativen och prissättningssidan för Microsoft Sentinel.

  • Innan du distribuerar Microsoft Sentinel till en produktionsmiljö granskar du fördistributionsaktiviteterna och förutsättningarna för att distribuera Microsoft Sentinel.

Skapa en Log Analytics-arbetsyta

Microsoft Sentinel måste läggas till i en arbetsyta. Om du redan har en Log Analytics-arbetsyta går du vidare till att lägga till Microsoft Sentinel på din Log Analytics-arbetsyta. Om du inte redan har en Log Analytics-arbetsyta kan du skapa en med hjälp av anvisningarna nedan eller gå till Skapa en Log Analytics-arbetsyta för en mer detaljerad förklaring. Mer information om Log Analytics-arbetsytor finns i Designa distributionen av Azure Monitor-loggar.

Du kan ha en standardinställning på 30 dagars kvarhållning på Log Analytics-arbetsytan som används för Microsoft Sentinel. Öka kvarhållningen till 90 dagar för att se till att du kan använda alla Microsoft Sentinel-funktioner. Konfigurera principer för datakvarhållning och arkivering i Azure Monitor-loggar.

  1. Logga in på Azure-portalen.

  2. Sök efter och välj Microsoft Sentinel.
    Skärmbild av sökning efter och val av Microsoft Sentinel från Azure-portalen.

  3. Välj Skapa. Skärmbild av att välja Skapa för att börja skapa en ny Log Analytics-arbetsyta.

  4. Välj Skapa en ny arbetsyta. Skärmbild av att välja Skapa en ny arbetsyta.

  5. UnderPrenumerationsresursgrupp> väljer du Skapa ny. Ange ett namn på resursgruppen och välj OK. Skärmbild av hur du skapar en Log Analytics-arbetsyteskärm. Under Prenumeration och resursgrupp väljs Skapa ny.

  6. Ge arbetsytan ett namn och välj en region och välj sedan Granska + Skapa. (Se vilka regioner Log Analytics är tillgängligt i.)

  7. När verifieringen har godkänts väljer du Skapa. Vänta tills distributionen är klar.

Lägga till Microsoft Sentinel på din Log Analytics-arbetsyta

  1. Från Azure-portalen söker du efter och väljer Microsoft Sentinel.

  2. Välj Skapa. Skärmbild av att välja Skapa för att skapa en ny Log Analytics-arbetsyta.

  3. Välj den arbetsyta som du vill använda och välj Lägg till. Du kan köra Microsoft Sentinel på mer än en arbetsyta, men data är isolerade till en enda arbetsyta.

    • Standardarbetsytorna som skapas av Microsoft Defender för molnet visas inte i listan. Du kan inte installera Microsoft Sentinel på dessa arbetsytor.
    • När den har distribuerats på en arbetsyta har Microsoft Sentinel inte stöd för att flytta arbetsytan till en annan resursgrupp eller prenumeration.

Anmärkning

Om din arbetsyta inte registreras automatiskt i Defender-portalen rekommenderar vi registrering för en enhetlig upplevelse av att hantera säkerhetsåtgärder (SecOps) i både Microsoft Sentinel och andra Microsoft-säkerhetstjänster. För mer information, se Integrera Microsoft Sentinel till Defender-portalen.

Om din arbetsyta registreras automatiskt, eller om du bestämmer dig för att registrera din arbetsyta nu, kan du fortsätta procedurerna i den här artikeln från Defender-portalen. Om det här är första gången du använder Defender-portalen blir det en fördröjning på några minuter medan processen är klar.

Få åtkomst till Microsoft Sentinel i Defender-portalen

Så här kommer du åt Microsoft Sentinel i Defender-portalen:

  1. Logga in på Defender-portalen.

    Första gången du öppnar Defender Portal kan det ta en stund att konfigurera din klientorganisation.

  2. När det har etablerats kommer du att se Microsoft Sentinel i navigeringsfönstret, med dess noder kapslade inom. Till exempel:

    Skärmbild av Microsoft Sentinel i Defender-portalen.

  3. Rulla nedåt i navigeringsfönstret och välj Inställningar > Microsoft Sentinel-arbetsytor > för att visa arbetsytorna som registrerats på Defender-portalen och som är tillgängliga för dig.

Defender-portalen stöder flera arbetsytor, där en arbetsyta fungerar som den primära arbetsytan per klientorganisation. Mer information finns i Flera Microsoft Sentinel-arbetsytor i Defender-portalen och Microsoft Defender-hantering av flera klientorganisationer.

Installera en lösning från innehållshubben

Innehållshubben i Microsoft Sentinel är den centraliserade platsen för att identifiera och hantera out-of-the-box-innehåll, inklusive dataanslutningar. I den här snabbstarten installerar du lösningen för Azure Activity.

  1. I Microsoft Sentinel bläddrar du till sidan Innehållshubb och letar upp och väljer azure-aktivitetslösningen .

  2. I lösningsinformationsfönstret på sidan väljer du Installera.

Konfigurera dataanslutningen

Microsoft Sentinel matar in data från tjänster och appar genom att ansluta till tjänsten och vidarebefordra händelser och loggar till Microsoft Sentinel. I den här snabbstarten installerar du dataanslutningsappen för att vidarebefordra data för Azure Activity till Microsoft Sentinel.

  1. I Microsoft Sentinel väljer du Konfiguration>Data connectors och söker efter och väljer Azure Activity datakoppling.

  2. I detaljpanelen för anslutningsprogrammet väljer du Öppna anslutningsprogramsidan. Använd anvisningarna på sidan Azure Activity Connector för att konfigurera dataanslutningsappen.

    1. Välj Starta guiden för tilldelning av Azure-policy.

    2. På fliken Grundläggande anger du omfånget till den prenumeration och resursgrupp som har aktivitet att skicka till Microsoft Sentinel. Välj till exempel den prenumeration som innehåller din Microsoft Sentinel-instans.

    3. Välj fliken Parametrar och ange arbetsytan Primär Log Analytics. Det här bör vara arbetsytan där Microsoft Sentinel är installerat.

    4. Välj Granska + skapa och sedan Skapa.

Generera aktivitetsdata

Nu ska vi generera vissa aktivitetsdata genom att aktivera en regel som ingick i Azure Activity-lösningen för Microsoft Sentinel. Det här steget visar också hur du hanterar innehåll i innehållshubben.

  1. I Microsoft Sentinel väljer du Innehållshubb och söker efter och väljer Mall för misstänkt resursdistributionsregel i Azure Activity-lösningen.

  2. I informationsfönstret väljer du Skapa regel för att skapa en ny regel med hjälp av guiden Analysregel.

  3. I guiden Analysregel – Skapa en ny schemalagd regel ändrar du Status till Aktiverad.

    På den här fliken och alla andra flikar i guiden lämnar du standardvärdena som de är.

  4. På fliken Granska och skapa väljer du Skapa.

Visa data som matas in i Microsoft Sentinel

Nu när du har aktiverat Azure Activity-dataanslutningsappen och genererat vissa aktivitetsdata ska vi visa aktivitetsdata som lagts till på arbetsytan.

  1. I Microsoft Sentinel väljer du Konfiguration>Data connectors och söker efter och väljer Azure Activity datakoppling.

  2. I detaljpanelen för anslutningsprogrammet väljer du Öppna anslutningsprogramsidan.

  3. Granska status för dataanslutningen. Den ska vara Ansluten.

    Skärmbild av dataanslutningsappen för Azure Activity med statusen som ansluten.

  4. Välj en flik som du vill fortsätta med, beroende på vilken portal du använder:

    1. Välj Gå till logganalys för att öppna sidan Avancerad jakt .

    2. Längst upp i fönstret bredvid fliken Ny fråga väljer du + för att lägga till en ny frågeflik.

    3. Kör följande fråga för att visa aktivitetsdatum som infogats i arbetsytan:

      AzureActivity

    Till exempel:

    Skärmbild av AzureActivity-frågan på sidan Loggar i Defender-portalen.

Nästa steg

I den här snabbstarten aktiverade du Microsoft Sentinel och installerade en lösning från innehållshubben. Sedan konfigurerar du en dataanslutning för att börja mata in data i Microsoft Sentinel. Du har också kontrollerat att data matas in genom att visa data på arbetsytan.

Om du är en ny kund som automatiskt har registrerats på Defender-portalen kommer dina användare endast att få åtkomst till Microsoft Sentinel i Defender-portalen. När du använder Microsoft Sentinel-dokumentationen måste du välja defender-portalversionen av dokumentationen.