快速入門:載入 Azure Sentinel

來源: Microsoft
作者:Microsoft
時(shí)間:2021-03-12
17557
在本快速入門中,了解如何載入Azure Sentinel。

在本快速入門中,了解如何載入Azure Sentinel。

若要載入Azure Sentinel,首先需要啟用Azure Sentinel,然后再連接到數(shù)據(jù)源。Azure Sentinel隨附許多適用于Microsoft解決方案的開箱即用的連接器,提供實(shí)時(shí)集成,包括Microsoft 365 Defender(之前稱為Microsoft威脅防護(hù))解決方案、Microsoft 365源(包括Office 365)、Azure AD、Microsoft Defender for Identity(之前稱為Azure ATP)、Microsoft Cloud App Security和Azure安全中心的Azure Defender警報(bào)等。此外,內(nèi)置的連接器可以拓寬非Microsoft解決方案的安全生態(tài)系統(tǒng)。也可以使用常用事件格式(CEF)、Syslog或REST-API將數(shù)據(jù)源與Azure Sentinel相連接。

連接數(shù)據(jù)源后,從熟練地創(chuàng)建的工作簿的庫中進(jìn)行選擇,這些工作簿基于你的數(shù)據(jù)呈現(xiàn)見解??梢愿鶕?jù)需要輕松地自定義這些工作簿。

重要

有關(guān)使用Azure Sentinel時(shí)產(chǎn)生的費(fèi)用的信息,請(qǐng)參閱Azure Sentinel定價(jià)。

全局先決條件

·如果沒有可用的Azure訂閱,可以在開始前創(chuàng)建一個(gè)免費(fèi)帳戶。

·Log Analytics工作區(qū)。了解如何創(chuàng)建Log Analytics工作區(qū)。有關(guān)Log Analytics工作區(qū)的詳細(xì)信息,請(qǐng)參閱設(shè)計(jì)Azure監(jiān)視日志部署。

·若要啟用Azure Sentinel,需要獲取Azure Sentinel工作區(qū)所在訂閱的參與者權(quán)限。

·若要使用Azure Sentinel,需要獲取工作區(qū)所屬資源組的“參與者”或“讀取者”權(quán)限。

·連接特定數(shù)據(jù)源可能需要其他權(quán)限。

·Azure Sentinel是付費(fèi)服務(wù)。有關(guān)定價(jià)信息,請(qǐng)參閱關(guān)于Azure Sentinel。

地理可用性和數(shù)據(jù)駐留

·Azure Sentinel可在Log Analytics的大多數(shù)GA區(qū)域的工作區(qū)中運(yùn)行,但中國和德國(主權(quán))區(qū)域除外。有時(shí),新的Log Analytics區(qū)域可能需要一些時(shí)間來加入Azure Sentinel服務(wù)。

·由Azure Sentinel生成的數(shù)據(jù),例如事件、書簽和分析規(guī)則,可能包含來源于客戶Log Analytics工作區(qū)的一些客戶數(shù)據(jù)。根據(jù)工作區(qū)所在的地理位置,此Azure Sentinel生成的數(shù)據(jù)將保存在下表所列的地理位置中:

微信圖片_20210312134419.png

啟用Azure Sentinel

1.登錄到Azure門戶。確保已選中在其中創(chuàng)建Azure Sentinel的訂閱。

2.搜索“Azure Sentinel”并將其選中。

search-product.png

3.選擇添加。

4.選擇要使用的工作區(qū),或創(chuàng)建新工作區(qū)??梢栽诙鄠€(gè)工作區(qū)上運(yùn)行Azure Sentinel,但將數(shù)據(jù)隔離到單個(gè)工作區(qū)。

choose-workspace.png

備注

·Azure安全中心創(chuàng)建的默認(rèn)工作區(qū)將不會(huì)顯示在列表中;無法在其上安裝Azure Sentinel。

重要

·部署到工作區(qū)后,Azure Sentinel當(dāng)前不支持將該工作區(qū)移至其他資源組或訂閱。

如果已移動(dòng)工作區(qū),請(qǐng)禁用“分析”下的所有活動(dòng)規(guī)則,并在五分鐘后重新啟用這些規(guī)則。重申一下,這在大多數(shù)情況下應(yīng)該是有效的,但不支持這樣做,風(fēng)險(xiǎn)由你自己承擔(dān)。

5.選擇“添加Azure Sentinel”。

連接數(shù)據(jù)源

Azure Sentinel連接到服務(wù)并將事件和日志轉(zhuǎn)發(fā)到Azure Sentinel,以便引入服務(wù)和應(yīng)用中的數(shù)據(jù)。對(duì)于計(jì)算機(jī)和虛擬機(jī),可以安裝用于收集日志并將其轉(zhuǎn)發(fā)到Azure Sentinel的Log Analytics代理。對(duì)于防火墻和代理,Azure Sentinel會(huì)在Linux Syslog服務(wù)器上安裝Log Analytics代理,代理將從該服務(wù)器收集日志文件并將其轉(zhuǎn)發(fā)到Azure Sentinel。

1.在主菜單上,選擇“數(shù)據(jù)連接器”。隨即打開數(shù)據(jù)連接器庫。

2.此庫是所有可連接數(shù)據(jù)源的列表。選擇一個(gè)數(shù)據(jù)源,然后單擊“打開連接器頁面”按鈕。

3.連接器頁將顯示有關(guān)如何配置連接器的說明,以及可能需要的任何其他說明。

例如,如果選擇可將日志從Azure AD流式傳輸?shù)紸zure Sentinel的Azure Active Directory數(shù)據(jù)源,則可以選擇你想要獲取的日志類型,以便登錄日志和/或?qū)徍巳罩尽?/span>

有關(guān)詳細(xì)信息,請(qǐng)按照安裝說明或參閱相關(guān)的連接指南。有關(guān)數(shù)據(jù)連接器的信息,請(qǐng)參閱連接Microsoft服務(wù)。

4.連接器頁上“后續(xù)步驟”選項(xiàng)卡顯示了數(shù)據(jù)連接器附帶的相關(guān)內(nèi)置工作簿、示例查詢和分析規(guī)則模板。你可以按原樣使用它們,也可以對(duì)其進(jìn)行修改,無論哪種方式,你都可以立即獲取數(shù)據(jù)的有趣見解。

連接數(shù)據(jù)源后,數(shù)據(jù)開始流式傳輸?shù)紸zure Sentinel,并準(zhǔn)備好供你開始使用。你可以在內(nèi)置儀表板中查看日志并開始在Log Analytics中構(gòu)建查詢以調(diào)查數(shù)據(jù)。

立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Microsoft,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán),請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除!
相關(guān)文章
Azure Arc為企業(yè)構(gòu)建安全的云基礎(chǔ)
Azure Arc為企業(yè)構(gòu)建安全的云基礎(chǔ)
隨著人工智能技術(shù)持續(xù)重塑企業(yè)運(yùn)營方式,企業(yè)需要能夠處理海量數(shù)據(jù)的系統(tǒng),以支持實(shí)時(shí)洞察,同時(shí)幫助他們應(yīng)對(duì)跨IT和OT環(huán)境(包括云端、邊緣和本地)中運(yùn)營、應(yīng)用、數(shù)據(jù)和基礎(chǔ)設(shè)施的協(xié)作難題。
Azure
微軟云
云服務(wù)
2024-12-172024-12-17
釋放.NET 9和Azure的AI技術(shù)與云計(jì)算潛力:更快、更智能、面向未來
釋放.NET 9和Azure的AI技術(shù)與云計(jì)算潛力:更快、更智能、面向未來
.NET 9現(xiàn)已正式發(fā)布,它為.NET平臺(tái)的發(fā)展掀開了嶄新的一頁,突破了性能、云原生開發(fā)和AI技術(shù)集成的邊界。
Azure
微軟云
云服務(wù)
2024-12-162024-12-16
Azure網(wǎng)絡(luò)管理現(xiàn)已具備智能Microsoft Copilot副駕駛能力
Azure網(wǎng)絡(luò)管理現(xiàn)已具備智能Microsoft Copilot副駕駛能力
智能Microsoft Copilot副駕駛for Azure網(wǎng)絡(luò)服務(wù)現(xiàn)已推出公共預(yù)覽版。
Azure
微軟云
云服務(wù)
2024-12-102024-12-10
Microsoft Fabric功能更新,借助AI驅(qū)動(dòng)的數(shù)據(jù)平臺(tái)加速應(yīng)用創(chuàng)新
Microsoft Fabric功能更新,借助AI驅(qū)動(dòng)的數(shù)據(jù)平臺(tái)加速應(yīng)用創(chuàng)新
一年前,我們正式推出了一款端到端數(shù)據(jù)平臺(tái),旨在幫助組織推動(dòng)人工智能轉(zhuǎn)型,并重新定義數(shù)據(jù)的連接、管理和分析方式。
Azure
微軟云
云服務(wù)
2024-12-092024-12-09
優(yōu)質(zhì)服務(wù)商推薦
更多
掃碼登錄
打開掃一掃, 關(guān)注公眾號(hào)后即可登錄/注冊(cè)
加載中
二維碼已失效 請(qǐng)重試
刷新
賬號(hào)登錄/注冊(cè)
小程序
快出海小程序
公眾號(hào)
快出海公眾號(hào)
商務(wù)合作
商務(wù)合作
投稿采訪
投稿采訪
出海管家
出海管家