Hızlı başlangıç: yerleşik Microsoft Sentinel

  • Makale
  • Okumak için 4 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Bu hızlı başlangıçta, Microsoft Sentinel panosunu nasıl yapacağınızı öğrenin. Yerleşik Microsoft Sentinel 'e kadar önce Microsoft Sentinel 'i etkinleştirmeniz ve sonra veri kaynaklarınızı bağlamanız gerekir.

microsoft Sentinel, microsoft çözümleri için kullanıma hazır olan ve Microsoft 365 Defender (eski adıyla Microsoft tehdit koruması) çözümleri, Microsoft 365 kaynakları (Office 365 dahil) dahil gerçek zamanlı tümleştirme sağlayan çeşitli bağlayıcılarla birlikte gelir. ), Azure AD, kimlik için Microsoft Defender (eskiden Azure ATP), bulut uygulamaları için Microsoft Defender, bulut için Microsoft Defender 'daki güvenlik uyarıları ve daha fazlası. Ayrıca, Microsoft dışı çözümler için daha geniş güvenlik ekosistemine yerleşik bağlayıcılar vardır. Veri kaynaklarınızı Microsoft Sentinel 'e bağlamak için ortak olay biçimi (CEF), syslog veya REST API 'yi de kullanabilirsiniz.

Veri kaynaklarınızı bağlandıktan sonra, verilerinizi temel alan bir expertly oluşturulan çalışma kitapları galerisinden seçim yapın. Bu çalışma kitapları, gereksinimlerinize kolayca özelleştirilebilir.

Önemli

Microsoft Sentinel 'i kullanırken oluşan ücretler hakkında bilgi için bkz. Microsoft Sentinel fiyatlandırma ve Microsoft Sentinel maliyetleri ve faturalandırma.

Genel Önkoşullar

Daha fazla bilgi için bkz. Microsoft Sentinel dağıtımı için dağıtım öncesi etkinlikleri ve önkoşulları.

Coğrafi kullanılabilirlik ve veri yerleşimi

  • Microsoft Sentinel, Log Analytics genel kullanıma sunulan çoğu bölgedeçalışma alanlarında çalıştırılabilir. Log Analytics yeni kullanılabildiği bölgeler, Microsoft Sentinel hizmetini eklemek biraz zaman alabilir.

  • Geos ve bölgeler hakkında bilgi için bkz. Azure 'da veri yerleşimi ve müşteri verilerinin depolandığı yer.

  • Tek bölgeli veri yerleşimi Şu anda yalnızca Asya Pasifik Coğrafya 'un Güneydoğu Asya (Singapur) bölgesinde ve Brezilya Coğrafya 'nun Brezilya Güney (Sao Paulo durumu) bölgesinde sunulmaktadır.

    Önemli

    • machine learning (ML) altyapısını kullanan bazı kuralları etkinleştirerek, microsoft Sentinel çalışma alanınızın bu kuralları işlemesi için gereken ilgili verileri microsoft Sentinel çalışma alanınızın coğrafya dışında, microsoft Sentinel çalışma alanınızın coğrafi olarak kopyalama izni verirsiniz .

Microsoft Sentinel 'i etkinleştir

  1. Azure portalında oturum açın. Microsoft Sentinel 'in oluşturulduğu aboneliğin seçildiğinden emin olun.

  2. Microsoft Sentinel' i arayın ve seçin.

    Hizmet arama

  3. Add (Ekle) seçeneğini belirleyin.

  4. Kullanmak istediğiniz çalışma alanını seçin veya yeni bir tane oluşturun. Microsoft Sentinel 'i birden fazla çalışma alanında çalıştırabilirsiniz, ancak veriler tek bir çalışma alanına yalıtılmış olur.

    Çalışma alanı seçin

    Not

    • Bulut için Microsoft Defender tarafından oluşturulan varsayılan çalışma alanları listede görünmez; Microsoft Sentinel 'i bunlara yükleyemezsiniz.

    Önemli

    • Microsoft Sentinel, çalışma alanına dağıtıldıktan sonra o çalışma alanının diğer kaynak gruplarına veya aboneliklerine taşınmasını desteklememektedir .

      Çalışma alanını zaten taşıdıysanız, Analiz altında tüm etkin kuralları devre dışı bırakın ve beş dakika sonra bunları yeniden etkinleştirin. Bu durum çoğu durumda etkili olmalıdır, ancak yeniden yinelemek için, bu, sizin sorumluluğunuzdadır ve riski size aittir.

  5. Microsoft Sentinel Ekle' yi seçin.

Veri kaynaklarını bağlama

Microsoft, hizmete bağlanarak ve olayları ve günlükleri Microsoft Sentinel 'e ileterek hizmetlerden ve uygulamalardan verileri bir daha ucuz. Fiziksel ve sanal makineler için, günlükleri toplayan ve bunları Microsoft Sentinel 'e ileten Log Analytics aracısını yükleyebilirsiniz. Microsoft Sentinel, güvenlik duvarları ve proxy 'ler için Log Analytics aracısını aracının günlük dosyalarını topladığı ve Microsoft Sentinel 'e ileten bir Linux Syslog sunucusuna yüklerse.

  1. Ana menüden veri bağlayıcıları' nı seçin. Bu, veri bağlayıcıları galerisini açar.

  2. Galeri, bağlayabilmeniz için kullanabileceğiniz tüm veri kaynaklarının bir listesidir. Bir veri kaynağı ve ardından bağlayıcı sayfası aç düğmesini seçin.

  3. Bağlayıcı sayfasında, bağlayıcıyı yapılandırmaya yönelik yönergeler ve gerekli olabilecek ek yönergeler gösterilir.

    örneğin, Azure AD 'den Microsoft Sentinel 'e günlük akışı yapmanızı sağlayan Azure Active Directory veri kaynağını seçerseniz, hangi tür günlüklerin almak istediğinizi ve/veya denetim günlüklerini seçebilirsiniz.
    Daha fazla bilgi için yükleme yönergelerini izleyin veya ilgili bağlantı kılavuzuna bakın . Veri bağlayıcıları hakkında daha fazla bilgi için bkz. Microsoft Sentinel veri bağlayıcıları.

  4. Bağlayıcı sayfasındaki sonraki adımlar sekmesinde, veri bağlayıcısına eşlik eden ilgili yerleşik çalışma kitapları, örnek sorgular ve analiz kuralı şablonları gösterilmektedir. Bunları olduğu gibi kullanabilir ya da değiştirebilirsiniz. bu şekilde, verileriniz genelinde ilgi çekici Öngörüler elde edebilirsiniz.

Veri kaynaklarınızı bağladıktan sonra verileriniz Microsoft Sentinel 'e akışa başlar ve ile çalışmaya başlayabilirsiniz. Günlükleri yerleşik çalışma kitaplarında görüntüleyebilir ve verileri araştırmakiçin Log Analytics sorguları oluşturmaya başlayabilirsiniz.

Daha fazla bilgi için bkz. veri toplama en iyi yöntemleri.

Sonraki adımlar

Daha fazla bilgi için bkz.