Snabbstart: Kom igång med Microsoft Sentinel

  • Artikel
  • 4 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

I den här snabbstarten lär du dig att komma igång med Microsoft Sentinel. För att kunna använda Microsoft Sentinel måste du först aktivera Microsoft Sentinel och sedan ansluta dina datakällor.

Microsoft Sentinel levereras med ett antal anslutningsappar för Microsoft-lösningar som är tillgängliga direkt och tillhandahåller realtidsintegrering, inklusive Microsoft 365 Defender-lösningar (tidigare Microsoft Threat Protection), Microsoft 365-källor (inklusive Office 365 ), Azure AD, Microsoft Defender for Identity (tidigare Azure ATP), Microsoft Defender for Cloud Apps, säkerhetsaviseringar från Microsoft Defender för molnet med mera. Dessutom finns det inbyggda anslutningsappar till det bredare säkerhetsekosystemet för lösningar som inte kommer från Microsoft. Du kan också använda Common Event Format (CEF), Syslog eller REST-API för att ansluta dina datakällor till Microsoft Sentinel.

När du har anslutt dina datakällor kan du välja från ett galleri med expertskapade arbetsböcker som visar insikter baserat på dina data. Dessa arbetsböcker kan enkelt anpassas efter dina behov.

Viktigt

Information om de avgifter som uppstår när du använder Microsoft Sentinel finns i Priser för Microsoft Sentinel och Microsoft Sentinel-kostnader och fakturering.

Globala krav

  • Aktiv Azure-prenumeration. Om du inte har ett konto kan du skapa ett kostnadsfritt konto innan du börjar.

  • Log Analytics-arbetsyta. Lär dig hur du skapar en Log Analytics-arbetsyta. Mer information om Log Analytics-arbetsytor finns i Designing your Azure Monitor Logs deployment (Utforma distribution av Azure Monitor loggar).

    Som standard kan du ha kvarhållning i 30 dagar på Log Analytics-arbetsytan som används för Microsoft Sentinel. För att se till att du kan använda microsoft Sentinel-funktionerna fullt ut kan du höja detta till 90 dagar. Mer information finns i Ändra kvarhållningsperioden.

  • Behörigheter:

    • Om du vill aktivera Microsoft Sentinel behöver du deltagarbehörighet till prenumerationen där Microsoft Sentinel-arbetsytan finns.

    • Om du vill använda Microsoft Sentinel behöver du antingen deltagar- eller läsarbehörighet för den resursgrupp som arbetsytan tillhör.

    • Ytterligare behörigheter kan behövas för att ansluta specifika datakällor.

  • Microsoft Sentinel är en betald tjänst. Mer information finns i Om Microsoft Sentinel och prissättningssidan för Microsoft Sentinel

Mer information finns i Aktiviteter före distribution och förutsättningar för att distribuera Microsoft Sentinel.

Geografisk tillgänglighet och datahemhemlighet

  • Microsoft Sentinel kan köras på arbetsytor i de flesta regioner där Log Analytics är allmänt tillgängligt. Regioner där Log Analytics är nyligen tillgängligt kan ta lite tid att registrera Microsoft Sentinel-tjänsten.

  • Se Datahemhemlighet i Azure för information om geografiska områden och regioner och var kunddata lagras.

  • Datahemhemlighet för en region tillhandahålls för närvarande endast i regionen Sydostasien (Singapore) i geografin Asien och stillahavsområdet och i regionen Brasilien, södra (Sao Paulo State) i brasiliens geografi.

    Viktigt

    • Genom att aktivera vissa regler som använder maskininlärningsmotorn (ML) ger du Microsoft tillstånd att kopiera relevanta inmatade data utanför Din Microsoft Sentinel-arbetsytas geografiska område, vilket maskininlärningsmotorn kan behöva för att bearbeta dessa regler.

Aktivera Microsoft Sentinel

  1. Logga in på Azure-portalen. Kontrollera att den prenumeration där Microsoft Sentinel har skapats har valts.

  2. Sök efter och välj Microsoft Sentinel.

    Tjänstsökning

  3. Välj Lägg till.

  4. Välj den arbetsyta som du vill använda eller skapa en ny. Du kan köra Microsoft Sentinel på mer än en arbetsyta, men data är isolerade till en enda arbetsyta.

    Välj en arbetsyta

    Anteckning

    • Standardarbetsytor som skapats av Microsoft Defender for Cloud visas inte i listan. du kan inte installera Microsoft Sentinel på dem.

    Viktigt

    • När microsoft Sentinel har distribuerats på en arbetsyta stöder det för närvarande inte flytt av arbetsytan till andra resursgrupper eller prenumerationer.

      Om du redan har flyttat arbetsytan inaktiverar du alla aktiva regler under Analys och aktiverar dem igen efter fem minuter. Detta bör dock vara effektivt i de flesta fall, men för att känna sig hemma så stöds det inte och utförs på egen risk.

  5. Välj Lägg till Microsoft Sentinel.

Ansluta till datakällor

Microsoft Sentinel matar in data från tjänster och appar genom att ansluta till tjänsten och vidarebefordra händelser och loggar till Microsoft Sentinel. För fysiska och virtuella datorer kan du installera Log Analytics-agenten som samlar in loggarna och vidarebefordrar dem till Microsoft Sentinel. För brandväggar och proxyservrar installerar Microsoft Sentinel Log Analytics-agenten på en Linux Syslog-server, där agenten samlar in loggfilerna och vidarebefordrar dem till Microsoft Sentinel.

  1. Välj Datakopplingar på huvudmenyn. Då öppnas galleriet med dataanslutningsappar.

  2. Galleriet är en lista över alla datakällor som du kan ansluta. Välj en datakälla och sedan knappen Öppna anslutningssidan.

  3. Sidan med anslutningsappar innehåller anvisningar för att konfigurera anslutningen och eventuella ytterligare instruktioner som kan vara nödvändiga.

    Om du till exempel väljer datakällan Azure Active Directory, som gör att du kan strömma loggar från Azure AD till Microsoft Sentinel, kan du välja vilken typ av loggar du vill hämta – inloggningsloggar och/eller granskningsloggar.
    Följ installationsanvisningarna eller läs relevant anslutningsguide för mer information. Information om dataanslutningar finns i Microsoft Sentinel-dataanslutningar.

  4. Fliken Nästa steg på anslutningssidan visar relevanta inbyggda arbetsböcker, exempelfrågor och analysregelmallar som medföljer dataanslutningen. Du kan använda dessa som de är eller ändra dem – oavsett hur du kan få intressanta insikter i dina data direkt.

När dina datakällor är anslutna börjar dina data strömma till Microsoft Sentinel och är redo att börja arbeta med. Du kan visa loggarna i de inbyggda arbetsböckerna och börja skapa frågor i Log Analytics för att undersöka data.

Mer information finns i Metodtips för datainsamling.

Nästa steg

Mer information finns i: