你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在本快速入门中,你将启用 Microsoft Sentinel 并从内容中心安装解决方案。 然后,设置数据连接器以开始将数据引入 Microsoft Sentinel。
Microsoft Sentinel 附带了许多面向 Microsoft 产品的数据连接器,例如,Microsoft Defender XDR 服务到服务连接器。 还可以启用面向非 Microsoft 产品(例如 Syslog 或通用事件格式 [CEF])的内置连接器。 对于本快速入门,你将使用 Microsoft Sentinel 的 Azure 活动解决方案中提供的 Azure 活动数据连接器。
若要使用 API 载入到 Microsoft Sentinel,请参阅最新支持的 Sentinel 载入状态版本。
Prerequisites
活动 Azure 订阅。 如果没有帐户,请在开始之前创建 一个免费帐户 。
Log Analytics 工作区。 了解如何 创建 Log Analytics 工作区。 有关 Log Analytics 工作区的详细信息,请参阅 设计 Azure Monitor 日志部署。
在用于 Microsoft Sentinel 的 Log Analytics 工作区中,默认 保留期为 30 天 。 若要确保你可以使用所有 Microsoft Sentinel 功能和特性,请将保留期提高到 90 天。 在 Azure Monitor 日志中配置数据保留和存档策略。
权限:
若要启用 Microsoft Sentinel,需要获取 Microsoft Sentinel 工作区所在订阅的参与者权限。
若要使用 Microsoft Sentinel,您需要在工作区所属的资源组拥有 Microsoft Sentinel 参与者 或 Microsoft Sentinel 读取者 权限。
要在内容中心安装或管理解决方案,需要在工作区所属的资源组上具有“Microsoft Sentinel 参与者”角色。
如果你是新的 Microsoft Sentinel 客户,并且拥有订阅 所有者 或 用户访问管理员的权限,则工作区会自动载入 Defender 门户。 此类工作区的用户仅在 Defender 门户中使用Microsoft Sentinel 。
Microsoft Sentinel 是付费服务。 查看 定价选项 和 Microsoft Sentinel 定价页。
在将 Microsoft Sentinel 部署到生产环境之前,请查看 预部署活动和部署 Microsoft Sentinel 的先决条件。
启用 Microsoft Sentinel
如果要开始,请将 Microsoft Sentinel 添加到现有工作区或创建新工作区。
登录到 Azure 门户。
搜索“Microsoft Sentinel”并将其选中。
选择“ 创建”。
选择要使用的工作区,或创建新工作区。 可以在多个工作区上运行 Microsoft Sentinel,但数据与单个工作区隔离。
- 列表中未显示由 Microsoft Defender for Cloud 创建的默认工作区。 你无法在这些工作区上安装 Microsoft Sentinel。
- 部署在工作区上后,Microsoft Sentinel 不支持将该工作区移至其他资源组或订阅。
选择 “添加”。
注释
如果您的工作区未自动载入 Defender 门户,我们建议您载入,以便在 Microsoft Sentinel 和其他 Microsoft 安全服务中实现统一的安全操作(SecOps)管理体验。 有关详细信息,请参阅将 Microsoft Sentinel 加入到 Defender 门户。
如果您的工作区已自动加入,或者您现在决定加入工作区,您可以从 Defender 门户继续执行本文中的步骤。 如果这是你第一次使用 Defender 门户,该过程完成时将延迟几分钟。
在 Defender 门户中访问Microsoft Sentinel
如果自动加入 Defender 门户,或者在启用 Microsoft Sentinel 后选择将工作区加入 Defender 门户,则此过程是相关的。
若要在 Defender 门户中访问 Microsoft Sentinel,请执行以下作:
登录到 Defender 门户。
首次访问 Defender 门户时,需要一些时间来预配租户。
预配后,你将在导航窗格中看到 Microsoft Sentinel 可用,其中嵌套了Microsoft Sentinel 节点。 例如:
在导航窗格中向下滚动,然后选择 “设置 > ”Microsoft Sentinel > 工作区。这样可以查看已加入 Defender 门户并可供你使用的工作区。
Defender 门户支持多个工作区,其中一个工作区充当每个租户的主工作区。 有关详细信息,请参阅 Defender 门户中的多个 Microsoft Sentinel 工作区 ,并 Microsoft Defender 多租户管理。
从内容中心安装解决方案
Microsoft Sentinel 中的内容中心是用于发现和管理现成内容(包括数据连接器)的集中位置。 对于本快速入门,请安装适用于 Azure 活动的解决方案。
在 Microsoft Sentinel 中,浏览到 “内容中心 ”页,找到并选择 Azure 活动 解决方案。
- Defender 门户
- Azure 门户
- 在右侧的解决方案详细信息窗格中,选择“ 安装”。
设置数据连接器
Microsoft Sentinel 连接到服务并将事件和日志转发到 Microsoft Sentinel,以便引入服务和应用中的数据。 对于本快速入门,请安装数据连接器以将 Azure 活动的数据转发到 Microsoft Sentinel。
在 Microsoft Sentinel 中,选择 “配置”>数据连接器,然后搜索并选择 “Azure 活动”数据连接器。
在“连接器详细信息”窗格中,选择“ 打开连接器”页。 使用 Azure 活动 连接器页上的说明设置数据连接器。
选择“启动 Azure Policy 分配向导”。
在“基本信息”选项卡上,将“范围”设置为具有要发送到 Microsoft Sentinel 的活动的订阅和资源组。 例如,选择包含 Microsoft Sentinel 实例的订阅。
选择“ 参数 ”选项卡,并设置 主 Log Analytics 工作区。 这应是安装 Microsoft Sentinel 的工作区。
选择“查看 + 创建”和“创建”。
生成活动数据
让我们通过启用 Microsoft Sentinel 的 Azure 活动解决方案中包含的规则来生成一些活动数据。 此步骤还演示了如何管理内容中心的内容。
在 Microsoft Sentinel 中,选择内容中心,然后在 Azure 活动解决方案中搜索并选择可疑资源部署规则模板。
在详细信息窗格中,选择“ 创建规则 ”以使用 Analytics 规则向导创建新规则。
在 “分析规则向导 - 创建新的计划规则 ”页中,将 “状态 ”更改为 “已启用”。
在此选项卡上和向导中的所有其他选项卡上,保留默认值。
在“ 审阅和创建 ”选项卡上,选择“ 创建”。
查看引入到 Microsoft Sentinel 中的数据
现在,你已启用 Azure 活动数据连接器并生成了一些活动数据,接下来请查看添加到工作区的活动数据。
在 Microsoft Sentinel 中,选择 “配置”>数据连接器,然后搜索并选择 “Azure 活动”数据连接器。
在“连接器详细信息”窗格中,选择“ 打开连接器”页。
查看数据连接器 的状态 。 它应为 Connected。
选择一个选项卡以继续,具体取决于所使用的门户:
- Defender 门户
- Azure 门户
选择 转到日志分析 以打开 高级搜索 页。
在窗格顶部的“ 新建查询 ”选项卡旁边,选择 + “添加新查询”选项卡。
运行以下查询以查看引入到工作区的活动日期:
AzureActivity
例如:
Next steps
在本快速入门中,你启用了 Microsoft Sentinel,并从内容中心安装了解决方案。 然后,你设置了数据连接器以开始将数据引入 Microsoft Sentinel。 你还通过查看工作区中的数据验证了数据正被引入。
如果你是自动入驻到 Microsoft Defender 门户的新客户,则用户将仅能在 Microsoft Defender 门户中访问 Microsoft Sentinel 服务。 使用 Microsoft Sentinel 文档时,请确保选择文档的 Defender 门户版本。
- 若要使用仪表板和工作簿可视化你收集的数据,请参阅 可视化收集的数据。
- 若要使用分析规则检测威胁,请参阅 教程:使用 Microsoft sentinel 中的分析规则检测威胁。