Quickstart: Microsoft Sentinel aan boord

  • Artikel
  • 5 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

In deze quickstart leert u hoe u Microsoft Sentinel kunt in gebruik nemen. Als u Microsoft Sentinel wilt inschakelen, moet u eerst Microsoft Sentinel inschakelen en vervolgens uw gegevensbronnen verbinden.

Microsoft Sentinel wordt geleverd met een aantal connectors voor Microsoft-oplossingen, die direct beschikbaar zijn en realtime integratie bieden, waaronder Microsoft 365 Defender-oplossingen (voorheen Microsoft Threat Protection) en Microsoft 365-bronnen (waaronder Office 365 ), Azure AD, Microsoft Defender for Identity (voorheen Azure ATP), Microsoft Defender for Cloud Apps, beveiligingswaarschuwingen van Microsoft Defender for Cloud en meer. Daarnaast zijn er ingebouwde connectors voor het bredere beveiligingsecosysteem voor niet-Microsoft-oplossingen. U kunt ook Common Event Format (CEF), Syslog of REST-API gebruiken om uw gegevensbronnen te verbinden met Microsoft Sentinel.

Nadat u verbinding hebt gemaakt met uw gegevensbronnen, kiest u uit een galerie van deskundig gemaakte werkboeken die op basis van uw gegevens inzichten aan het licht brengen. Deze werkmappen kunnen gemakkelijk worden aangepast aan uw behoeften.

Belangrijk

Zie Prijzen van Microsoft Sentinel en Microsoft Sentinel-kostenen facturering voor meer informatie over de kosten die worden gemaakt bij het gebruik van Microsoft Sentinel.

Globale vereisten

Zie Pre-deployment activities and prerequisites for deploying Microsoft Sentinel (Activiteitenvóór implementatie en vereisten voor het implementeren van Microsoft Sentinel) voor meer informatie.

Geografische beschikbaarheid en gegevenslocatie

  • Microsoft Sentinel kan worden uitgevoerd op werkruimten in de meeste regio's waar Log Analytics algemeen beschikbaar is. Het kan enige tijd duren voordat regio's waar Log Analytics nieuw beschikbaar is de Microsoft Sentinel-service onboarden.

  • Zie Gegevenslocatie in Azure voor informatie over geografische gebieden en regio's en over waar klantgegevens worden opgeslagen.

  • Gegevens in één regio zijn momenteel alleen beschikbaar in de regio Azië - zuidoost (Singapore) van de geografie Azië en Stille Oceaan en in de regio Brazilië - zuid (Sao Paulo State) van de geografie Brazilië.

    Belangrijk

    • Door bepaalde regels in te stellen die gebruikmaken van de machine learning-engine (ML), geeft u Microsoft toestemming om relevante opgenomen gegevens te kopiëren buiten de geografie van uw Microsoft Sentinel-werkruimte, zoals mogelijk vereist door de machine learning-engine om deze regels te verwerken.

Microsoft Sentinel inschakelen

  1. Meld u aan bij Azure Portal. Zorg ervoor dat het abonnement waarin Microsoft Sentinel is gemaakt, is geselecteerd.

  2. Zoek en selecteer Microsoft Sentinel.

    Services zoeken

  3. Selecteer Toevoegen.

  4. Selecteer de werkruimte die u wilt gebruiken of maak een nieuwe. U kunt Microsoft Sentinel uitvoeren op meer dan één werkruimte, maar de gegevens worden geïsoleerd in één werkruimte.

    Een werkruimte kiezen

    Notitie

    • Standaardwerkruimten die door Microsoft Defender for Cloud zijn gemaakt, worden niet weergegeven in de lijst; U kunt Microsoft Sentinel er niet op installeren.

    Belangrijk

    • Na de geïmplementeerd in een werkruimte biedt Microsoft Sentinel momenteel geen ondersteuning voor het verplaatsen van die werkruimte naar andere resourcegroepen of abonnementen.

      Als u de werkruimte al hebt verplaatst, moet u alle actieve regels onder Analyses uitschakelen en na vijf minuten opnieuw inschakelen. In de meeste gevallen is dit effectief, hoewel de methode niet wordt ondersteund en voor eigen risico wordt uitgevoerd.

  5. Selecteer Microsoft Sentinel toevoegen.

Verbinding maken met gegevensbronnen

Microsoft Sentinel registreert gegevens uit services en apps door verbinding te maken met de service en de gebeurtenissen en logboeken door testuren naar Microsoft Sentinel. Voor fysieke en virtuele machines kunt u de Log Analytics-agent installeren die de logboeken verzamelt en doorsturen naar Microsoft Sentinel. Voor firewalls en proxies installeert Microsoft Sentinel de Log Analytics-agent op een Linux Syslog-server, waarvan de agent de logboekbestanden verzamelt en deze doorsturen naar Microsoft Sentinel.

  1. Selecteer Gegevensconnectors in het hoofdmenu. Hiermee opent u de galerie met gegevensconnectors.

  2. De galerie is een lijst met alle gegevensbronnen waarmee u verbinding kunt maken. Selecteer een gegevensbron en klik vervolgens op de knop Connectorpagina openen.

  3. De connectorpagina bevat instructies voor het configureren van de connector en eventuele aanvullende instructies die nodig kunnen zijn.

    Als u bijvoorbeeld de Azure Active Directory-gegevensbron selecteert, waarmee u logboeken van Azure AD kunt streamen naar Microsoft Sentinel, kunt u selecteren welk type logboeken u wilt krijgen: aanmeldingslogboeken en/of auditlogboeken.
    Volg de installatie-instructies of raadpleeg de relevante verbindingshandleiding voor meer informatie. Zie Microsoft Sentinel-gegevensconnectoren voor meer informatie over gegevensconnectoren.

  4. In het tabblad Volgende stappen op de connectorpagina ziet u relevante ingebouwde werkmappen, voorbeeldquery's en sjablonen van analytics-regels die bij de gegevensconnector horen. U kunt deze ongewijzigd gebruiken of wijzigen. In ieder geval kunt u onmiddellijk interessante inzichten krijgen over uw gegevens.

Nadat uw gegevensbronnen zijn verbonden, worden uw gegevens gestreamd naar Microsoft Sentinel en kunt u aan de slag met . U kunt de logboeken in de ingebouwde werkmappen weergeven en beginnen met het bouwen van query's in Log Analytics om de gegevens te onderzoeken.

Zie Best practices voor gegevensverzameling voor meer informatie.

Volgende stappen

Zie voor meer informatie: