Quickstart: Onboarding van Microsoft Sentinel

In deze quickstart schakelt u Microsoft Sentinel in en installeert u een oplossing vanuit de inhoudshub. Vervolgens stelt u een gegevensconnector in om gegevens op te nemen in Microsoft Sentinel.

Microsoft Sentinel wordt geleverd met veel gegevensconnectors voor Microsoft-producten, zoals de Microsoft Defender XDR-service-naar-serviceconnector. U kunt ook ingebouwde connectors inschakelen voor niet-Microsoft-producten, zoals Syslog of Common Event Format (CEF). Voor deze quickstart gebruikt u de Azure Activity-gegevensconnector die beschikbaar is in de Azure Activity-oplossing voor Microsoft Sentinel.

Vereisten

• Actief Azure-abonnement. Als u nog geen abonnement hebt, maakt u een gratis account voordat u begint.

• Log Analytics-werkruimte. Leer een Log Analytics-werkruimte maken. Zie De implementatie van uw Azure Monitor-logboeken ontwerpenvoor meer informatie over Log Analytics-werkruimten.

  Mogelijk hebt u een standaardretentie van 30 dagen in de Log Analytics-werkruimte die wordt gebruikt voor Microsoft Sentinel. Als u ervoor wilt zorgen dat u alle Microsoft Sentinel-functionaliteit en -functies kunt gebruiken, verhoogt u de retentie tot 90 dagen. Gegevensretentie- en archiefbeleid configureren in Azure Monitor-logboeken.

• Machtigingen:

  • Als u Microsoft Sentinel wilt inschakelen, hebt u inzendermachtigingen nodig voor het abonnement waarin de Microsoft Sentinel-werkruimte zich bevindt.

  • Als u Microsoft Sentinel wilt gebruiken, hebt u microsoft Sentinel-inzender- of Microsoft Sentinel Reader-machtigingen nodig voor de resourcegroep waartoe de werkruimte behoort.

  • Als u oplossingen in de inhoudshub wilt installeren of beheren, hebt u de rol Microsoft Sentinel-inzender nodig voor de resourcegroep waartoe de werkruimte behoort.

• Microsoft Sentinel is een betaalde service. Bekijk de prijsopties en de microsoft Sentinel-pagina met prijzen.

• Voordat u Microsoft Sentinel implementeert in een productieomgeving, controleert u de predeploymentactiviteiten en vereisten voor het implementeren van Microsoft Sentinel.

Microsoft Sentinel inschakelen

Voeg Microsoft Sentinel toe aan een bestaande werkruimte of maak een nieuwe om aan de slag te gaan.

1. Meld u aan bij het Azure-portaal.

2. Zoek en selecteer Microsoft Sentinel.

   

3. Selecteer Maken.

4. Selecteer de werkruimte die u wilt gebruiken of maak een nieuwe. U kunt Microsoft Sentinel uitvoeren in meer dan één werkruimte, maar de gegevens worden geïsoleerd in één werkruimte.

   

   • De standaardwerkruimten die zijn gemaakt door Microsoft Defender voor Cloud worden niet weergegeven in de lijst. U kunt Microsoft Sentinel niet installeren op deze werkruimten.
   • Zodra deze is geïmplementeerd in een werkruimte, biedt Microsoft Sentinel geen ondersteuning voor het verplaatsen van die werkruimte naar een andere resourcegroep of een ander abonnement.

5. Selecteer Toevoegen.

Als alternatief voor het gebruik van de portal kunt u onboarden bij Microsoft Sentinel met behulp van een API-aanvraag door de ONBOARDingStates ARM-API aan te roepen.

Een oplossing installeren vanuit de inhoudshub

De inhoudshub in Microsoft Sentinel is de centrale locatie voor het detecteren en beheren van out-of-the-box-inhoud, inclusief gegevensconnectors. Voor deze quickstart installeert u de oplossing voor Azure-activiteit.

1. Selecteer inhoudshub in Microsoft Sentinel.

2. Zoek en selecteer de Azure Activity-oplossing .

   

3. Selecteer Installeren/bijwerken op de werkbalk boven aan de pagina.

De gegevensconnector instellen

Microsoft Sentinel neemt gegevens van services en apps op door verbinding te maken met de service en de gebeurtenissen en logboeken door te sturen naar Microsoft Sentinel. Voor deze quickstart installeert u de gegevensconnector om gegevens voor Azure-activiteit door te sturen naar Microsoft Sentinel.

1. Selecteer gegevensconnectors in Microsoft Sentinel.

2. Zoek en selecteer de Azure Activity-gegevensconnector .

3. Selecteer de pagina Connector openen in het detailvenster voor de connector.

4. Bekijk de instructies voor het configureren van de connector.

5. Selecteer De wizard Azure Policy-toewijzing starten.

6. Stel op het tabblad Basisbeginselen het bereik in op het abonnement en de resourcegroep die activiteit heeft om naar Microsoft Sentinel te verzenden. Selecteer bijvoorbeeld het abonnement dat uw Microsoft Sentinel-exemplaar bevat.

7. Selecteer het tabblad Parameters.

8. Stel de primaire Log Analytics-werkruimte in. Dit moet de werkruimte zijn waar Microsoft Sentinel is geïnstalleerd.

9. Selecteer Controleren en maken en Maken.

Activiteitsgegevens genereren

We gaan enkele activiteitsgegevens genereren door een regel in te schakelen die is opgenomen in de Azure-activiteitsoplossing voor Microsoft Sentinel. In deze stap ziet u ook hoe u inhoud beheert in de inhoudshub.

1. Selecteer inhoudshub in Microsoft Sentinel.

2. Zoek en selecteer de Azure Activity-oplossing .

3. Selecteer Beheren in het rechterdeelvenster.

4. Zoek en selecteer de regelsjabloon Verdachte resource-implementatie.

5. Selecteer Configuratie.

6. Selecteer de regel en regel maken.

7. Wijzig op het tabblad Algemeen de status in ingeschakeld. Laat de rest van de standaardwaarden staan.

8. Accepteer de standaardwaarden op de andere tabbladen.

9. Selecteer Maken op het tabblad Controleren en maken.

Gegevens weergeven die zijn opgenomen in Microsoft Sentinel

Nu u de Azure Activity-gegevensconnector hebt ingeschakeld en enkele activiteitsgegevens hebt gegenereerd, gaan we de activiteitsgegevens bekijken die aan de werkruimte zijn toegevoegd.

1. Selecteer gegevensconnectors in Microsoft Sentinel.

2. Zoek en selecteer de Azure Activity-gegevensconnector .

3. Selecteer de pagina Connector openen in het detailvenster voor de connector.

4. Controleer de status van de gegevensconnector. Het moet Verbinding maken.

   

5. Selecteer in het linkerdeelvenster boven de grafiek de optie Ga naar Log Analytics.

6. Selecteer bovenaan het deelvenster, naast het tabblad Nieuwe query 1 , de + optie om een nieuw querytabblad toe te voegen.

7. Voer in het queryvenster de volgende query uit om de activiteitsdatum weer te geven die in de werkruimte is opgenomen.

    AzureActivity
   

   

Volgende stappen

In deze quickstart hebt u Microsoft Sentinel ingeschakeld en een oplossing geïnstalleerd vanuit de inhoudshub. Vervolgens stelt u een gegevensconnector in om gegevens op te nemen in Microsoft Sentinel. U hebt ook gecontroleerd of gegevens worden opgenomen door de gegevens in de werkruimte te bekijken.

• Zie Verzamelde gegevens visualiseren om de gegevens te visualiseren die u hebt verzameld met behulp van de dashboards en werkmappen.
• Zie Zelfstudie: Bedreigingen detecteren met behulp van analyseregels in Microsoft Sentinel om bedreigingen te detecteren.