共用方式為

使用以診斷設定為基礎的連線,將 Microsoft Sentinel 連線至其他 Microsoft 服務

  • 發行項

本文說明如何使用診斷設定連線來連線到 Microsoft Sentinel。 Microsoft Sentinel 使用 Azure 基礎來提供內建的服務對服務支援,以從許多 Azure 和 Microsoft 365 服務、Amazon Web Services 和各種 Windows Server 服務中擷取。 有一些不同的方法來建立這些連線。

本文提供使用診斷設定型連線之資料連線器群組通用的資訊。 其中一些連接器類型是使用 Azure 原則 來管理。 針對此類型的其他連接器,請使用獨立指示。

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

獨立診斷設定型連接器

本節涵蓋使用獨立診斷設定型連線之資料連線器群組的必要條件和一般安裝指示。

先決條件

若要將資料內嵌至 Microsoft Sentinel:

  • 您必須具備 Microsoft Sentinel 工作區的讀取和寫入權限。

Instructions

  1. 從 Microsoft Sentinel 導覽功能表中,選取 [資料連接器]。

  2. 從資料連接器資源庫選取您的資源類型,然後選取預覽窗格上的 [開啟連接器頁面]。

  3. 在連接器頁面的 [組態] 區段中,選取連結以開啟資源設定頁面。

    如果顯示所需類型的資源清單,請選取您要內嵌其記錄的資源連結。

  4. 從資源導覽功能表中,選取 [診斷設定]。

  5. 選取清單底部的 [+ 新增診斷設定]。

  6. 在 [診斷設定] 畫面中,於 [診斷設定名稱] 欄位中輸入名稱。

    標記 [傳送至 Log Analytics] 核取方塊。 下方會顯示兩個新的欄位。 選擇 (Microsoft Sentinel 所在) 的相關 [訂用帳戶] 和 [Log Analytics 工作區]。

  7. 標記您想要收集的記錄類型和計量核取方塊。 請參閱資料連接器參考頁面中資源連接器章節中每個資源類型的建議選項。

  8. 選取畫面頂端的 [儲存]。

如需詳細資訊,另請參閱 Azure 監視器文件中的建立診斷設定以將 Azure 監視器平台記錄和計量傳送至不同目的地

Azure 原則受控診斷設定型連接器

本節涵蓋使用Azure 原則受控診斷設定型連線之資料連線器群組的必要條件和一般安裝指示。

先決條件

若要將資料內嵌至 Microsoft Sentinel:

  • 您必須具備 Microsoft Sentinel 工作區的讀取和寫入權限。

  • 若要使用 Azure 原則將記錄串流原則套用至您的資源,您必須擁有原則指派範圍的擁有者角色。

  • 資料連線器特定需求:

    資料連接器 授權、成本和其他資訊
    Azure 活動 此連接器現在會使用診斷設定管線。 如果您使用舊版方法,您必須先中斷現有訂用帳戶與舊版方法的連線,才能設定新的 Azure 活動記錄連接器。

    1.從 Microsoft Sentinel 導覽功能表中,選取 [資料連線器]。 從連接器清單中,選取 [Azure 活動],然後選取右下角的 [開啟連接器] 頁面 按鈕。
    2. 在 [ 指示] 索引 標籤的 [組 ] 區段的步驟 1 中,檢閱已連線至舊版方法的現有訂用帳戶清單,然後按一下下方的 [ 全部中斷 連線] 按鈕,一次將它們全部中斷連線。
    3.使用本節中的指示繼續設定新的連接器。
    Azure DDoS 保護 - 已設定 Azure DDoS 標準保護計劃
    - 已啟用 Azure DDoS Standard 的已設定虛擬網路
    - 可能會套用其他費用
    - 只有在受保護的資源受到 DDoS 攻擊時,Azure DDoS 保護資料連線器 的狀態 才會變更為 [已連線 ]。
    Azure 儲存體帳戶 儲存體帳戶 (父) 資源在其內具有每種儲存體類型的其他 (子) 資源:檔案、資料表、佇列和 Blob。
    設定儲存體帳戶的診斷時,您必須選取並設定:

    - 父帳戶資源,匯出 交易 計量。
    - 每個子儲存體類型資源,匯出所有記錄和計量。

    您只會看到已實際定義其資源的儲存體類型。

Instructions

此類型的連接器會使用 Azure 原則,將單一診斷設定組態套用至定義為範圍的單一類型資源集合。 您可以在 [資料類型] 底下的該資源連接器頁面左側,查看從指定資源類型內嵌的記錄類型。

  1. 從 Microsoft Sentinel 導覽功能表中,選取 [資料連接器]。

  2. 從資料連接器資源庫選取您的資源類型,然後選取預覽窗格上的 [開啟連接器頁面]。

  3. 在連接器頁面的 [組態] 區段中,展開您在其中看到的任何展開器,然後選取 [啟動 Azure 原則指派精靈] 按鈕。

    原則指派精靈開啟,準備建立新的原則,並預先填入原則名稱。

    1. 在 [基本] 索引標籤中,選取 [範圍] 底下具有三個點的按鈕,以選擇您的訂用帳戶 (並可選擇性選取資源群組)。 您也可以新增描述。

    2. 在 [參數] 索引標籤上:

      • 清除 [僅顯示需要輸入的參數] 核取方塊。
      • 如果您看到 [效果] 和 [設定名稱] 欄位,請保持原狀。
      • Log Analytics 工作區下拉式清單中選擇您的 Microsoft Sentinel 工作區。
      • 剩餘下拉式欄位代表可用的診斷記錄類型。 保留標示為 “True” 所有您想要內嵌的記錄類型。

    3. 原則將會套用至未來新增的資源。 若也要在現有的資源上套用原則,請選取 [補救] 索引標籤,並選取 [建立補救工作] 核取方塊。

    4. 在 [檢閱 + 建立] 索引標籤中,按一下 [建立] 。 您的原則現在已指派給您選擇的範圍。

使用此類型的資料連線器,只有在過去 14 天內部分時間點已內嵌資料時,連線能力狀態指標 (資料連線器資源庫中的彩色帶狀線和資料類型名稱旁的連線圖示) 才會顯示為已連線 (綠色)。 一旦 14 天沒有擷取,連接器會顯示為已中斷連線。 當更多資料傳入時,[連線] 狀態就會回復。

您可以使用資料連接器參考頁面中資源連接器章節中出現的資料表名稱,尋找及查詢每個資源類型。 如需詳細資訊,請參閱 Azure 監視器文件中的建立診斷設定以將 Azure 監視器平台記錄和計量傳送至不同目的地

後續步驟

如需詳細資訊,請參閱