Rychlý start: On-board Microsoft Sentinel

  • Článek
  • 4 min ke čtení

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

V tomto rychlém startu se dozvíte, jak zprovoznění služby Microsoft Sentinel. Pokud chcete připojit Microsoft Sentinel, musíte nejprve povolit Microsoft Sentinel a pak připojit zdroje dat.

Microsoft Sentinel se dodává s řadou konektorů pro řešení Microsoftu, které jsou k dispozici v reálném čase a poskytují integraci v reálném čase, včetně řešení Microsoft 365 Defender (dříve Microsoft Threat Protection) a Microsoft 365 zdrojů (včetně Office 365 ), Azure AD, Microsoft Defender for Identity (dříve Azure ATP), Microsoft Defender for Cloud Apps, výstrahy zabezpečení z Microsoft Defenderu for Cloud a další. Kromě toho jsou k dispozici integrované konektory pro širší ekosystém zabezpečení pro řešení od jiných společností než Microsoft. Ke spojení zdrojů dat se Common Event Format Microsoft Sentinel můžete použít také cef (CEF), Syslog nebo REST-API.

Po připojení zdrojů dat si můžete vybrat z galerie odborně vytvořených sešitů, které poskytují přehledy založené na vašich datech. Tyto sešity můžete snadno přizpůsobit vašim potřebám.

Důležité

Informace o poplatcích účtných při používání služby Microsoft Sentinel najdete v tématu Ceny služby Microsoft Sentinel a náklady a fakturace služby Microsoft Sentinel.

Globální požadavky

  • Aktivní předplatné Azure. Pokud ho nemáte, než začnete, vytvořte si bezplatný účet.

  • Pracovní prostor služby Log Analytics. Zjistěte, jak vytvořit pracovní prostor služby Log Analytics. Další informace o pracovních prostorech služby Log Analytics najdete v tématu Návrh nasazení Azure Monitor protokolů.

    Ve výchozím nastavení můžete mít v pracovním prostoru služby Log Analytics používaném pro Microsoft Sentinel výchozí uchovávání 30 dnů. Pokud chcete mít jistotu, že můžete využívat všechen rozsah funkcí Microsoft Sentinelu, zvyšte tuto úroveň na 90 dnů. Další informace najdete v tématu Změna doby uchovávání.

  • Oprávnění:

    • Pokud chcete povolit Microsoft Sentinel, potřebujete oprávnění přispěvatele k předplatnému, ve kterém se nachází pracovní prostor Microsoft Sentinelu.

    • Pokud chcete používat Microsoft Sentinel, potřebujete oprávnění přispěvatele nebo čtenáře ke skupině prostředků, do které pracovní prostor patří.

    • K připojení konkrétních zdrojů dat může být potřeba další oprávnění.

  • Microsoft Sentinel je placená služba. Další informace najdete v tématu Informace o službě Microsoft Sentinel a na stránce s cenami služby Microsoft Sentinel.

Další informace najdete v tématu Aktivity před nasazením a požadavky pro nasazení služby Microsoft Sentinel.

Geografická dostupnost a rezidence dat

  • Microsoft Sentinel může běžet na pracovních prostorech ve většině oblastí, kde je služba Log Analytics obecně dostupná. Připojení služby Microsoft Sentinel k oblastem, ve kterých je služba Log Analytics nově dostupná, může nějakou dobu trvat.

  • Informace o geografických oblastech a o tom, kde jsou uložená zákaznická data,najdete v tématu Rezidence dat v Azure.

  • Rezidence dat s jednou oblastí je aktuálně k dispozici pouze v oblasti Jihovýchodní Asie (Singapur) zeměpisné oblasti Asie a Tichomoří a v oblasti Brazílie – jih (stát Sao Paulo) zeměpisné oblasti Brazílie.

    Důležité

    • Když povolíte určitá pravidla, která používají modul strojového učení (ML), poskytnete Microsoftu oprávnění ke kopírování relevantních ingestovaných dat mimo geografickou oblast pracovního prostoru Microsoft Sentinelu, protože je může strojové učení potřebná ke zpracování těchto pravidel.

Povolení služby Microsoft Sentinel

  1. Přihlaste se k webu Azure Portal. Ujistěte se, že je vybrané předplatné, ve kterém je služba Microsoft Sentinel vytvořená.

  2. Vyhledejte a vyberte Microsoft Sentinel.

    Vyhledávání služeb

  3. Vyberte Přidat.

  4. Vyberte pracovní prostor, který chcete použít, nebo vytvořte nový. Microsoft Sentinel můžete spustit ve více než jednom pracovním prostoru, ale data jsou izolovaná do jednoho pracovního prostoru.

    Vyberte pracovní prostor.

    Poznámka

    • Výchozí pracovní prostory vytvořené službou Microsoft Defender for Cloud se v seznamu nezobrazí. Microsoft Sentinel na ně není možné nainstalovat.

    Důležité

    • Po nasazení do pracovního prostoru Microsoft Sentinel v současné době nepodporuje přesun tohoto pracovního prostoru do jiných skupin prostředků nebo předplatných.

      Pokud jste pracovní prostor už přesunuli, zakažte všechna aktivní pravidla v části Analýza a po pěti minutách je znovu povolte. Ve většině případů by to ale mělo být efektivní, protože se nepodporuje a provádí se na vlastní riziko.

  5. Vyberte Add Microsoft Sentinel (Přidat Microsoft Sentinel).

Připojení zdrojů dat

Microsoft Sentinel ingestuje data ze služeb a aplikací připojením ke službě a předáváním událostí a protokolů do Služby Microsoft Sentinel. U fyzických a virtuálních počítačů můžete nainstalovat agenta Log Analytics, který shromažďuje protokoly a předává je službě Microsoft Sentinel. V případě bran firewall a proxy serverů microsoft Sentinel nainstaluje agenta Log Analytics na server Syslog s Linuxem, ze kterého agent shromáždí soubory protokolů a předá je službě Microsoft Sentinel.

  1. V hlavní nabídce vyberte Datové konektory. Otevře se galerie datových konektorů.

  2. Galerie je seznam všech zdrojů dat, které můžete připojit. Vyberte zdroj dat a pak tlačítko Otevřít stránku konektoru.

  3. Na stránce konektoru najdete pokyny ke konfiguraci konektoru a případné další potřebné pokyny.

    Pokud například vyberete zdroj dat Azure Active Directory, který vám umožní streamovat protokoly z Azure AD do Microsoft Sentinelu, můžete vybrat, jaký typ protokolů chcete získat – protokoly přihlášení nebo protokoly auditu.
    Postupujte podle pokynů k instalaci nebo si přečtěte další informace v příslušném průvodci připojením. Informace o datových konektorech najdete v tématu Datové konektory Microsoft Sentinelu.

  4. Na kartě Další kroky na stránce konektoru se zobrazují relevantní předdefinové sešity, ukázkové dotazy a šablony analytických pravidel, které doprovází datový konektor. Můžete je použít tak, jak jsou, nebo je upravit – ať už tak můžete okamžitě získat zajímavé přehledy o datech.

Po připojení zdrojů dat se vaše data začnou streamovat do Microsoft Sentinelu a jsou připravená k zahájení práce. Můžete zobrazit protokoly v předdefinovaných sešitech a začít s vytvářením dotazů v Log Analytics, abyste mohli prozkoumat data.

Další informace najdete v tématu Osvědčené postupy shromažďování dat.

Další kroky

Další informace naleznete v tématu: