Share via

Připojení služby Microsoft Sentinel k jiným službám Microsoftu pomocí připojení na základě nastavení diagnostiky

  • Článek

Tento článek popisuje, jak se připojit ke službě Microsoft Sentinel pomocí připojení nastavení diagnostiky. Microsoft Sentinel využívá základ Azure k poskytování integrované podpory mezi službami pro příjem dat z mnoha služeb Azure a Microsoft 365, Amazon Web Services a různých služeb Windows Serveru. Existuje několik různých metod, kterými se tato připojení navazují.

Tento článek obsahuje informace, které jsou společné pro skupinu datových konektorů, které používají připojení založená na nastavení diagnostiky. Některé z těchto typů konektorů se spravují pomocí Azure Policy. Pro ostatní konektory tohoto typu použijte samostatné pokyny.

Poznámka

Informace o dostupnosti funkcí v cloudech pro státní správu USA najdete v tabulkách Služby Microsoft Sentinel v tématu Dostupnost cloudových funkcí pro zákazníky státní správy USA.

Samostatné konektory založené na nastavení diagnostiky

Tato část popisuje požadavky a obecné pokyny k instalaci pro skupinu datových konektorů, které používají samostatná připojení založená na nastavení diagnostiky.

Požadavky

Ingestování dat do služby Microsoft Sentinel:

  • V pracovním prostoru služby Microsoft Sentinel musíte mít oprávnění ke čtení a zápisu.

Pokyny

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory.

  2. V galerii datových konektorů vyberte typ prostředku a pak v podokně náhledu vyberte Otevřít stránku konektoru .

  3. V části Konfigurace na stránce konektoru výběrem odkazu otevřete stránku konfigurace prostředku.

    Pokud se zobrazí seznam prostředků požadovaného typu, vyberte odkaz pro prostředek, jehož protokoly chcete ingestovat.

  4. V navigační nabídce prostředků vyberte Nastavení diagnostiky.

  5. V dolní části seznamu vyberte + Přidat nastavení diagnostiky .

  6. Na obrazovce Nastavení diagnostiky zadejte název do pole Název nastavení diagnostiky .

    Zaškrtněte políčko Odeslat do Log Analytics . Pod ním se zobrazí dvě nová pole. Zvolte příslušné předplatné a pracovní prostor služby Log Analytics (kde se nachází Microsoft Sentinel).

  7. Zaškrtněte políčka typů protokolů a metrik, které chcete shromažďovat. Projděte si naše doporučené volby pro každý typ prostředku v části konektoru prostředku na stránce s referenčními informacemi o datových konektorech .

  8. V horní části obrazovky vyberte Uložit .

Další informace najdete také v tématu Vytvoření nastavení diagnostiky pro odesílání protokolů a metrik platformy Azure Monitoru do různých cílů v dokumentaci ke službě Azure Monitor.

Azure Policy spravovaných konektorů založených na nastavení diagnostiky

Tato část popisuje požadavky a obecné pokyny k instalaci pro skupinu datových konektorů, které používají Azure Policy připojení založená na nastavení spravované diagnostiky.

Požadavky

Ingestování dat do služby Microsoft Sentinel:

  • V pracovním prostoru služby Microsoft Sentinel musíte mít oprávnění ke čtení a zápisu.

  • Pokud chcete použít Azure Policy k použití zásad streamování protokolů na vaše prostředky, musíte mít roli vlastníka pro obor přiřazení zásad.

  • Specifické požadavky na datový konektor:

    Datový konektor Licencování, náklady a další informace
    Aktivita Azure Tento konektor teď používá kanál nastavení diagnostiky. Pokud používáte starší metodu, musíte před nastavením nového konektoru protokolu aktivit Azure odpojit stávající předplatná od starší metody.

    1. V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory. V seznamu konektorů vyberte Aktivita Azure a pak v pravém dolním rohu vyberte tlačítko Otevřít konektor .
    2. Na kartě Pokyny v části Konfigurace v kroku 1 zkontrolujte seznam stávajících předplatných, která jsou připojena ke starší metodě, a odpojte je všechna najednou kliknutím na tlačítko Odpojit vše níže.
    3. Pokračujte v nastavování nového konektoru podle pokynů v této části.
    Azure DDoS Protection – Nakonfigurovaný plán ochrany Azure DDoS Standard.
    – Nakonfigurovaná virtuální síť s povolenou službou Azure DDoS Standard
    - Můžou se účtovat další poplatky.
    Stav datového konektoru Azure DDoS Protection se změní na Připojeno pouze v případě, že jsou chráněné prostředky pod útokem DDoS.
    Účet služby Azure Storage Účet úložiště (nadřazený) prostředek obsahuje další (podřízené) prostředky pro každý typ úložiště: soubory, tabulky, fronty a objekty blob.
    Při konfiguraci diagnostiky pro účet úložiště musíte vybrat a nakonfigurovat:

    – Prostředek nadřazeného účtu exportující metriku Transakce .
    – Každý z podřízených prostředků typu úložiště exportuje všechny protokoly a metriky.

    Zobrazí se jenom typy úložiště, pro které jste ve skutečnosti definovali prostředky.

Pokyny

Konektory tohoto typu používají Azure Policy k použití jedné konfigurace nastavení diagnostiky na kolekci prostředků jednoho typu definované jako obor. Typy protokolů ingestované z daného typu prostředku můžete zobrazit na levé straně stránky konektoru pro daný prostředek v části Datové typy.

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory.

  2. V galerii datových konektorů vyberte typ prostředku a pak v podokně náhledu vyberte Otevřít stránku konektoru .

  3. V části Konfigurace na stránce konektoru rozbalte všechny rozbalovací moduly, které tam vidíte, a vyberte tlačítko Průvodce spuštěním Azure Policy přiřazení.

    Otevře se průvodce přiřazením zásad připravený k vytvoření nové zásady s předem vyplněným názvem zásady.

    1. Na kartě Základy vyberte tlačítko se třemi tečkami v části Rozsah a zvolte své předplatné (a volitelně i skupinu prostředků). Můžete také přidat popis.

    2. Na kartě Parametry :

      • Zrušte zaškrtnutí políčka Zobrazovat pouze parametry, které vyžadují vstup .
      • Pokud se zobrazí pole Efekt a Název nastavení , nechte je tak, jak jsou.
      • V rozevíracím seznamu Pracovní prostor služby Log Analytics vyberte svůj pracovní prostor Služby Microsoft Sentinel.
      • Zbývající rozevírací pole představují dostupné typy diagnostických protokolů. Všechny typy protokolů, které chcete ingestovat, nechte označené jako True.

    3. Zásady se použijí na prostředky přidané v budoucnu. Pokud chcete zásady použít i u stávajících prostředků, vyberte kartu Náprava a zaškrtněte políčko Vytvořit úlohu nápravy .

    4. Na kartě Zkontrolovat a vytvořit klikněte na Vytvořit. Vaše zásada je teď přiřazená k zvolenému oboru.

U tohoto typu datového konektoru se indikátory stavu připojení (barevný pruh v galerii datových konektorů a ikony připojení vedle názvů datových typů) zobrazí jako připojené (zelené) jenom v případě, že se data v určitém okamžiku v posledních 14 dnech ingestovala. Po uplynutí 14 dnů bez příjmu dat se konektor zobrazí jako odpojený. V okamžiku, kdy dojde k dalším datům, se stav připojení vrátí.

Data pro každý typ prostředku můžete najít a dotazovat pomocí názvu tabulky, který se zobrazí v části konektoru prostředku na stránce s referenčními informacemi o datových konektorech . Další informace najdete v tématu Vytvoření nastavení diagnostiky pro odesílání protokolů a metrik platformy Azure Monitoru do různých cílů v dokumentaci ke službě Azure Monitor.

Další kroky

Další informace naleznete v tématu: