Yhteyden muodostaminen Microsoft Sentinel muihin Microsoft-palveluihin diagnostiikka-asetuksiin perustuvien yhteyksien avulla

Tässä artikkelissa kuvataan, miten voit muodostaa yhteyden Microsoft Sentinel diagnostiikka-asetusyhteyksien avulla. Microsoft Sentinel käyttää Azure-säätiötä tarjotakseen sisäistä, palvelun sisäistä tukea tietojen käsittelylle monista Azure ja Microsoft 365 -palveluista, Amazon Web Servicesistä ja erilaisista Windows Server-palveluista. Nämä yhteydet muodostetaan muutamilla eri tavoilla.

Tässä artikkelissa esitellään diagnostiikka-asetuksiin perustuvia yhteyksiä käyttävien tietoliittimien ryhmälle yleisiä tietoja. Joitakin tämäntyyppisiä liittimiä hallitaan Azure käytännöllä. Käytä muita tämän tyyppisiä liittimiä erillisissä ohjeissa.

Huomautus

Lisätietoja ominaisuuksien saatavuudesta Yhdysvaltain valtionhallinnon pilvipalveluissa on kohdassa Microsoft Sentinel taulukot Pilvipalvelun ominaisuuksien käytettävyydestä Yhdysvaltain valtionhallinnon asiakkaille.

Ennakkovaatimukset

Jotta voit käyttää tietoja Microsoft Sentinel erillisen diagnostiikka-asetuspohjaisen liittimen avulla, sinulla on oltava Microsoft Sentinel käytössä olevan Log Analytics -työtilan luku- ja kirjoitusoikeudet.

Jotta voit käyttää tietoja Microsoft Sentinel diagnostiikka-asetuspohjaisten liittimien avulla, joita Azure Policy hallitsee, sinulla on oltava myös seuraavat edellytykset:

  • Jotta voit käyttää Azure Käytäntöä lokin virtauttamiskäytännön käyttöön resursseissasi, sinulla on oltava Omistaja-rooli käytännön määrityksen laajuudessa.

  • Seuraavat edellytykset sen mukaan, mitä liitintä käytät:

    Tietoyhdistin Käyttöoikeudet, kustannukset ja muut tiedot
    Azure toiminto Tämä liitin käyttää nyt diagnostiikka-asetusputkea. Jos käytät vanhaa menetelmää, sinun on katkaistava olemassa olevat tilaukset vanhasta menetelmästä ennen uuden Azure Toimintaloki-liittimen määrittämistä.

    1. Valitse Microsoft Sentinel siirtymisvalikosta Tietoyhdistimet. Valitse liittimien luettelosta Azure Toiminto ja valitse sitten avaa liitinsivu -painike oikeasta alakulmasta.
    2. Tarkista Ohjeet-välilehdenMääritys-osion vaiheessa 1 luettelo olemassa olevista tilauksistasi, jotka on yhdistetty vanhaan menetelmään, ja katkaise niiden kaikkien yhteys kerralla napsauttamalla katkaise kaikki - painiketta alla.
    3. Jatka uuden liittimen asentamista tämän osion ohjeiden avulla.
    Azure DDoS-suojaus - Määritetty DDoS Azure suojaussuunnitelma Standard.
    - Näennäisverkolle on määritetty Azure DDoS-Standard käytössä
    - Muita maksuja voidaan veloittaa
    - Azure DDoS Protection Data Connector -tilaksi muuttuu Yhdistetty vain, kun suojatut resurssit ovat DDoS-hyökkäyksen kohteena.
    Azure tallennustili Tallennustilillä (pääresurssilla) on muita resursseja (aliresursseja) kullekin tallennustilatyypille: tiedostot, taulukot, jonot ja blob-objektit.
    Kun määrität tallennustilin diagnostiikkaa, sinun on valittava ja määritettävä seuraavat:

    - Päätilin resurssi, joka vie Transaction-arvon .
    - Kukin alisäilön tyyppinen resurssi vie kaikki lokit ja mittarit.

    Näet vain ne tallennustyypit, joille olet todellisuudessa määrittänyt resursseja.

Yhdistäminen erillisen diagnostiikka-asetuspohjaisen liittimen kautta

Tässä ohjeessa kuvataan, miten voit muodostaa yhteyden Microsoft Sentinel käyttämällä diagnostiikka-asetuksiin perustuvia erillisiä yhteyksiä käyttäviä tietoliittimiä.

  1. Valitse Microsoft Sentinel siirtymisvalikosta Tietoliittimet.

  2. Valitse resurssityyppi tietoyhdistimien valikoimasta ja valitse sitten esikatseluruudussa Avaa liitinsivu .

  3. Avaa resurssin määrityssivu valitsemalla liitinsivun Määritys-osiosta linkki.

    Jos näyttöön tulee haluamasi resurssityyppinen luettelo, valitse linkin resurssille, jonka lokit haluat käyttää.

  4. Valitse resurssien siirtymisvalikosta Diagnostiikka-asetukset.

  5. Valitse + Lisää diagnostiikka-asetus luettelon alareunasta.

  6. Kirjoita Diagnostiikka-asetukset-näytössä nimi Diagnostiikka-asetusten nimi -kenttään.

    Merkitse Lähetä lokianalyysiin - valintaruutu. Sen alla näkyy kaksi uutta kenttää. Valitse asianmukainen tilaus- ja lokianalyysityötila (jossa Microsoft Sentinel sijaitsee).

  7. Merkitse niiden lokien ja mittareiden valintaruudut, jotka haluat kerätä. Katso resurssin liittimen osion kunkin resurssityypin suositellut vaihtoehdot Tietoliittimet-viitesivulta .

  8. Valitse näytön yläreunasta Tallenna.

Lisätietoja on Azure Monitor -dokumentaation kohdassa Diagnostiikka-asetusten luominen, jotta voit lähettää Azure Valvoa käyttöympäristön lokeja ja mittareita eri kohteisiin.

Yhteyden muodostaminen Azure Policyn hallitseman diagnostiikka-asetuspohjaisen liittimen kautta

Tässä ohjeessa kuvataan, miten voit muodostaa yhteyden Microsoft Sentinel käyttämällä tietoliittimiä, jotka käyttävät diagnostiikka-asetuksiin perustuvia ja Azure Policyn hallitsemia yhteyksiä.

Tämäntyyppiset liittimet käyttävät Azure Käytäntöä yhden diagnostiikka-asetusten määrityksen käyttöön yksittäisen tyypin resurssikokoelmassa, joka on määritetty vaikutusalueeksi. Näet tietystä resurssityypistä haetut lokityypit kyseisen resurssin liitinsivun vasemmassa reunassa tietotyypit-kohdassa.

  1. Valitse Microsoft Sentinel siirtymisvalikosta Tietoliittimet.

  2. Valitse resurssityyppi tietoyhdistimien valikoimasta ja valitse sitten esikatseluruudussa Avaa liitinsivu .

  3. Laajenna liitinsivun Määritys-osiossa kaikki siellä näkemäsi laajennukset ja valitse käynnistä Azure ohjattu käytännön määrityksen luominen -painike.

    Ohjattu käytännön määrityksen luominen avautuu. Se on valmis luomaan uuden käytännön, jonka käytäntönimi on täytetty valmiiksi.

    1. Valitse Tilauksesi (ja valinnaisesti resurssiryhmä) perustietojen välilehdessä kolmen kohdan kohdalla Scope-kohdassa olevalla kolmella pisteellä. Voit myös lisätä kuvauksen.

    2. Parametrit-välilehdessä:

      • Poista Näytä vain syötettä edellyttävät parametrit -valintaruudun valinta.
      • Jos näet Tehosteen ja Asetuksen nimi -kentät, jätä ne ennallesi.
      • Valitse Microsoft Sentinel työtilasi avattavasta Log Analytics -työtilaluettelosta.
      • Muut avattavat kentät edustavat käytettävissä olevia diagnostiikkalokityyppejä. Jätä merkinnäksi Tosi kaikille lokityypeille, jotka haluat käyttää.

    3. Käytäntöä sovelletaan tulevaisuudessa lisätyissä resursseissa. Jos haluat ottaa käytännön käyttöön myös nykyisissä resursseissa, valitse Korjaus-välilehti ja merkitse Luo korjaustehtävä -valintaruutu.

    4. Valitse Tarkista + luo -välilehdessä Luo. Käytäntösi on nyt määritetty valitsemaasi alueeseen.

Tämäntyyppisessä tietoyhdistimessä yhteyden tilailmaisimet (väriraita tietoyhdistimien valikoimassa ja yhteyskuvakkeet tietotyyppien nimien vieressä) näkyvät yhdistettyinä (vihreinä) vain, jos tietoja on käytetty jossain vaiheessa viimeisten 14 päivän aikana. Kun 14 päivää on kulunut ilman tietojen käsittelyjä, liitin näyttää yhteyden katkeavan. Kun tietoja tulee lisää, yhdistetty tila palautuu.

Voit etsiä ja kysellä kunkin resurssityypin tietoja käyttämällä taulukon nimeä, joka näkyy resurssin liittimen osiossa Tietoyhdistimien viitesivulla . Lisätietoja on Azure Monitor -dokumentaation kohdassa Diagnostiikka-asetusten luominen ympäristön lokien ja mittareiden tarkkailun Azure lähettämiseksi eri kohteisiin.

Aiheeseen liittyvä sisältö

Lisätietoja on seuraavissa artikkeleissa:

  • Last updated on