Koble Microsoft Sentinel til andre Microsoft-tjenester ved hjelp av diagnosedatabaserte tilkoblinger

Denne artikkelen beskriver hvordan du kobler til Microsoft Sentinel ved hjelp av tilkoblinger til diagnoseinnstillinger. Microsoft Sentinel bruker Azure foundation til å gi innebygd tjeneste-til-tjeneste-støtte for datainntak fra mange Azure- og Microsoft 365-tjenester, Amazon Web Services og ulike Windows Server-tjenester. Det finnes et par ulike metoder som disse tilkoblingene utføres gjennom.

Denne artikkelen presenterer informasjon som er felles for gruppen med datakoblinger som bruker diagnosedatainnstillingerbaserte tilkoblinger. Noen av disse typene koblinger administreres ved hjelp av Azure Policy. Bruk de frittstående instruksjonene for de andre koblingene av denne typen.

Obs!

Hvis du vil ha informasjon om funksjonstilgjengelighet i US Government-skyer, kan du se Microsoft Sentinel tabeller i skyfunksjonstilgjengelighet for US Government-kunder.

Forutsetninger

Hvis du vil ta inn data i Microsoft Sentinel ved hjelp av en frittstående, diagnosedatabasert kobling, må du ha lese- og skrivetillatelser på log analytics-arbeidsområdet som er aktivert for Microsoft Sentinel.

Hvis du vil ta inn data i Microsoft Sentinel ved hjelp av diagnosedatainnstillingerbaserte koblinger som administreres av Azure Policy, må du også ha følgende forutsetninger:

  • Hvis du vil bruke Azure policy for å bruke en policy for loggstrømming på ressursene dine, må du ha eierrollen for policytildelingsomfanget.

  • Følgende forutsetninger, avhengig av hvilken kobling du bruker:

    Datakobling Lisensiering, kostnader og annen informasjon
    Azure aktivitet Denne koblingen bruker nå datasamlebåndet for diagnoseinnstillinger. Hvis du bruker den eldre metoden, må du koble de eksisterende abonnementene fra den eldre metoden før du konfigurerer den nye loggkoblingen for Azure aktivitet.

    1. Velg Datakoblinger fra Microsoft Sentinel navigasjonsmeny. Velg Azure Aktivitet fra listen over koblinger, og velg deretter Åpne kobling-side-knappen nederst til høyre.
    2. Se gjennom listen over eksisterende abonnementer som er koblet til den eldre metoden, under Instruksjoner-fanen i Konfigurasjon-delen i trinn 1, og koble dem fra samtidig ved å klikke Koble fra alle nedenfor.
    3. Fortsett å konfigurere den nye koblingen med instruksjonene i denne delen.
    Azure DDoS Protection – Konfigurert Azure DDoS Standard beskyttelsesplan.
    – Konfigurert virtuelt nettverk med Azure DDoS-Standard aktivert
    - Andre gebyrer kan påløpe
    Status for Azure DDoS Protection Data Connector endres bare til Tilkoblet når de beskyttede ressursene er under et DDoS-angrep.
    Azure Storage-konto Lagringskontoressursen (overordnet) har i seg andre (underordnede) ressurser for hver type lagringsplass: filer, tabeller, køer og blober.
    Når du konfigurerer diagnostikk for en lagringskonto, må du velge og konfigurere:

    – Ressursen for den overordnede kontoen som eksporterer måleverdien for transaksjonen .
    – Hver av ressursene for underordnet lagringstype, som eksporterer alle loggene og måledataene.

    Du ser bare lagringstypene som du faktisk har definerte ressurser for.

Koble til via en frittstående diagnosedatabasert kobling

Denne fremgangsmåten beskriver hvordan du kobler til Microsoft Sentinel ved hjelp av datakoblinger som bruker frittstående tilkoblinger basert på diagnoseinnstillinger.

  1. Velg Datakoblinger fra navigasjonsmenyen Microsoft Sentinel.

  2. Velg ressurstypen fra datakoblingsgalleriet, og velg deretter Åpne koblingsside i forhåndsvisningsruten.

  3. Velg koblingen for å åpne siden for ressurskonfigurasjon i Konfigurasjon-delen av koblingssiden.

    Hvis du ser en liste over ressurser av den ønskede typen, velger du koblingen for en ressurs med loggene du vil ta inn.

  4. Velg Diagnoseinnstillinger fra ressursnavigasjonsmenyen.

  5. Velg + Legg til diagnoseinnstilling nederst i listen.

  6. Skriv inn et navn i navnefeltet for diagnoseinnstillinger i skjermbildet Diagnoseinnstillinger.

    Merk av for Send til logganalyse . To nye felt vises under det. Velg det relevante arbeidsområdet for abonnement og logganalyse (der Microsoft Sentinel befinner seg).

  7. Merk av for loggtypene og måledataene du vil samle inn. Se våre anbefalte valg for hver ressurstype i delen for ressurskoblingen på referansesiden for datakoblinger .

  8. Velg Lagre øverst på skjermen.

Hvis du vil ha mer informasjon, kan du også se Opprette diagnoseinnstillinger for å sende Azure Overvåke plattformlogger og -måledata til ulike mål i dokumentasjonen for Azure Monitor.

Koble til via en diagnoseinnstillingsbasert kobling som administreres av Azure Policy

Denne fremgangsmåten beskriver hvordan du kobler til Microsoft Sentinel ved hjelp av datakoblinger som bruker tilkoblinger som er basert på diagnoseinnstillinger og administreres av Azure Policy.

Koblinger av denne typen bruker Azure Policy til å bruke en konfigurasjon av én enkelt diagnoseinnstillinger på en samling av ressurser av én enkelt type, definert som et omfang. Du kan se loggtypene som er inntatt fra en gitt ressurstype på venstre side av koblingssiden for denne ressursen, under Datatyper.

  1. Velg Datakoblinger fra navigasjonsmenyen Microsoft Sentinel.

  2. Velg ressurstypen fra datakoblingsgalleriet, og velg deretter Åpne koblingsside i forhåndsvisningsruten.

  3. Utvid alle utvidere du ser der, i konfigurasjonsdelen på koblingssiden, og velg knappen Start Azure veiviser for policytilordning.

    Veiviseren for policytilordning åpnes, klar til å opprette en ny policy med et forhåndsutfyllet policynavn.

    1. Velg knappen med de tre prikkene under OmfangGrunnleggende-fanen for å velge abonnementet (og eventuelt en ressursgruppe). Du kan også legge til en beskrivelse.

    2. I Parametere-fanen :

      • Fjern merket for Vis bare parametere som krever inndata .
      • Hvis du ser feltene Effekt og Angi navn , lar du dem være som de er.
      • Velg Microsoft Sentinel arbeidsområde fra rullegardinlisten for Log Analytics-arbeidsområdet.
      • De gjenværende rullegardinfeltene representerer de tilgjengelige diagnoseloggtypene. La stå merket som Sann alle loggtypene du vil ta inn.

    3. Policyen vil bli brukt på ressurser som legges til i fremtiden. Hvis du vil bruke policyen på eksisterende ressurser også, merker du av for Utbedring og merker av for Opprett en utbedringsaktivitet .

    4. Klikk Opprett i se gjennom + opprett-fanen. Policyen er nå tilordnet til omfanget du valgte.

Med denne typen datakobling vises indikatorene for tilkoblingsstatus (en fargestripe i datakoblingsgalleriet og tilkoblingsikoner ved siden av datatypenavnene) bare tilkoblet (grønn) hvis dataene har blitt inntatt på et eller annet tidspunkt de siste 14 dagene. Når det har gått 14 dager uten datainntak, vises koblingen som frakoblet. I det øyeblikket flere data kommer gjennom, returnerer den tilkoblede statusen.

Du kan finne og spørre etter dataene for hver ressurstype ved hjelp av tabellnavnet som vises i delen for ressursens kobling på referansesiden for datakoblinger . Hvis du vil ha mer informasjon, kan du se Opprette diagnoseinnstillinger for å sende Azure Overvåke plattformlogger og -måledata til ulike mål i dokumentasjonen for Azure Monitor.

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se:

  • Last updated on