Gyorsútmutató: A Microsoft Sentinel előkészítése

Ebben a rövid útmutatóban engedélyezi a Microsoft Sentinelt, és telepít egy megoldást a tartalomközpontból. Ezután beállít egy adatösszekötőt az adatok Microsoft Sentinelbe való betöltésének megkezdéséhez.

A Microsoft Sentinel számos adatösszekötővel rendelkezik a Microsoft-termékekhez, például a Microsoft Defender XDR szolgáltatás-szolgáltatás összekötőjéhez. A beépített összekötőket nem Microsoft-termékekhez, például a Sysloghoz vagy a Common Event Formathoz (CEF) is engedélyezheti. Ebben a rövid útmutatóban a Microsoft Sentinel Azure Activity-megoldásában elérhető Azure Activity-adatösszekötőt fogja használni.

A Microsoft Sentinel API-val történő előkészítéséhez tekintse meg a Sentinel előkészítési állapotainak legújabb támogatott verzióját.

Előfeltételek

• Aktív Azure-előfizetés. Ha még nincs előfizetése, hozzon létre egy ingyenes fiókot, mielőtt hozzákezd.

• Log Analytics-munkaterület. Megtudhatja, hogyan hozhat létre Log Analytics-munkaterületet. A Log Analytics-munkaterületekkel kapcsolatos további információkért lásd az Azure Monitor-naplók üzembe helyezésének megtervezését ismertető témakört.

  Előfordulhat, hogy a Microsoft Sentinelhez használt Log Analytics-munkaterületen alapértelmezés szerint 30 napos megőrzési idő van. A Microsoft Sentinel összes funkciójának és funkciójának használatához 90 napra emelheti a megőrzést. Adatmegőrzési és archiválási szabályzatok konfigurálása az Azure Monitor-naplókban.

• Engedélyek:

  • A Microsoft Sentinel engedélyezéséhez közreműködői engedélyekre van szüksége ahhoz az előfizetéshez, amelyben a Microsoft Sentinel-munkaterület található.

  • A Microsoft Sentinel használatához Microsoft Sentinel-közreműködői vagy Microsoft Sentinel-olvasói engedélyekre van szüksége ahhoz az erőforráscsoporthoz, amelyhez a munkaterület tartozik.

  • A megoldások tartalomközpontban való telepítéséhez vagy kezeléséhez a Microsoft Sentinel közreműködői szerepkörre van szüksége azon az erőforráscsoporton, amelyhez a munkaterület tartozik.

• A Microsoft Sentinel egy fizetős szolgáltatás. Tekintse át a díjszabási lehetőségeket és a Microsoft Sentinel díjszabási oldalát.

• A Microsoft Sentinel éles környezetben való üzembe helyezése előtt tekintse át az előzetes üzembe helyezési tevékenységeket és a Microsoft Sentinel üzembe helyezésének előfeltételeit.

A Microsoft Sentinel engedélyezése

Első lépésként vegye fel a Microsoft Sentinelt egy meglévő munkaterületre, vagy hozzon létre egy újat.

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza ki a Microsoft Sentinelt.

   

3. Válassza a Létrehozás lehetőséget.

4. Jelölje ki a használni kívánt munkaterületet, vagy hozzon létre egy újat. A Microsoft Sentinelt több munkaterületen is futtathatja, de az adatok egyetlen munkaterületen különülnek el.

   

   • A Felhőhöz készült Microsoft Defender által létrehozott alapértelmezett munkaterületek nem jelennek meg a listában. Ezeken a munkaterületeken a Microsoft Sentinel nem telepíthető.
   • A munkaterületen való üzembe helyezés után a Microsoft Sentinel nem támogatja a munkaterület másik erőforráscsoportba vagy előfizetésbe való áthelyezését.

5. Válassza a Hozzáadás lehetőséget.

Megoldás telepítése a tartalomközpontból

A Microsoft Sentinel tartalomközpontja a központosított hely a beépített tartalmak felderítéséhez és kezeléséhez, beleértve az adatösszekötőket is. Ebben a rövid útmutatóban telepítse az Azure Activity megoldását.

1. A Microsoft Sentinelben válassza a Tartalomközpontot.

2. Keresse meg és válassza ki az Azure Activity-megoldást .

   

3. A lap tetején található eszköztáron válassza a Telepítés/frissítés lehetőséget.

Az adatösszekötő beállítása

A Microsoft Sentinel a szolgáltatáshoz való csatlakozással és az események és naplók Microsoft Sentinelbe való továbbításával betölti az adatokat a szolgáltatásokból és alkalmazásokból. Ebben a rövid útmutatóban telepítse az adatösszekötőt az Azure-tevékenység adatainak a Microsoft Sentinelnek való továbbításához.

1. A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget.

2. Keresse meg és válassza ki az Azure-tevékenység adatösszekötőt.

3. Az összekötő részletek ablaktábláján válassza az Összekötő megnyitása lapot.

4. Tekintse át az összekötő konfigurálásához szükséges utasításokat.

5. Válassza az Azure Policy-hozzárendelés indítása varázslót.

6. Az Alapszintű beállítások lapon állítsa a hatókört arra az előfizetésre és erőforráscsoportra, amely tevékenységekkel rendelkezik a Microsoft Sentinelnek való küldéshez. Válassza ki például a Microsoft Sentinel-példányt tartalmazó előfizetést.

7. Válassza a Paraméterek lapot.

8. Állítsa be az Elsődleges Log Analytics-munkaterületet. Ennek a munkaterületnek kell lennie, ahol a Microsoft Sentinel telepítve van.

9. Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.

Tevékenységadatok létrehozása

Hozzunk létre néhány tevékenységadatokat a Microsoft Sentinel Azure Activity-megoldásában szereplő szabály engedélyezésével. Ez a lépés azt is bemutatja, hogyan kezelheti a tartalmakat a tartalomközpontban.

1. A Microsoft Sentinelben válassza a Tartalomközpontot.

2. Keresse meg és válassza ki az Azure Activity-megoldást .

3. A jobb oldali panelen válassza a Kezelés lehetőséget.

4. Keresse meg és válassza ki a szabálysablon gyanús erőforrás üzembe helyezését.

5. Válassza a Konfiguráció lehetőséget.

6. Válassza ki a szabályt, és hozza létre a szabályt.

7. Az Általános lapon módosítsa az állapotot engedélyezve. Hagyja meg a többi alapértelmezett értéket.

8. Fogadja el az alapértelmezett értékeket a többi lapon.

9. A Véleményezés és létrehozás lapon válassza a Létrehozás lehetőséget.

A Microsoft Sentinelbe betöltött adatok megtekintése

Most, hogy engedélyezte az Azure Activity-adatösszekötőt, és létrehozott néhány tevékenységadatokat, tekintsük meg a munkaterülethez hozzáadott tevékenységadatokat.

1. A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget.

2. Keresse meg és válassza ki az Azure-tevékenység adatösszekötőt.

3. Az összekötő részletek ablaktábláján válassza az Összekötő megnyitása lapot.

4. Tekintse át az adatösszekötő állapotát . A kapcsolatnak csatlakoztatva kell lennie.

   

5. A diagram feletti bal oldali panelen válassza az Ugrás a naplóelemzéshez lehetőséget.

6. A panel tetején, az Új lekérdezés 1 lap mellett válassza ki az + új lekérdezéslap hozzáadásához.

7. A lekérdezés panelen futtassa az alábbi lekérdezést a munkaterületbe betöltött tevékenységdátum megtekintéséhez.

    AzureActivity
   

   

Következő lépések

Ebben a rövid útmutatóban engedélyezte a Microsoft Sentinelt, és telepített egy megoldást a tartalomközpontból. Ezután beállít egy adatösszekötőt az adatok Microsoft Sentinelbe való betöltésének megkezdéséhez. Azt is ellenőrizte, hogy az adatok betöltése folyamatban van-e a munkaterületen lévő adatok megtekintésével.

• Az irányítópultok és munkafüzetek használatával gyűjtött adatok vizualizálásához tekintse meg az összegyűjtött adatok vizualizációját.
• A fenyegetések elemzési szabályokkal való észleléséhez tekintse meg az oktatóanyagot: Fenyegetések észlelése elemzési szabályokkal a Microsoft Sentinelben.