Verbinding maken Microsoft Sentinel met andere Microsoft-services met behulp van verbindingen op basis van diagnostische instellingen

In dit artikel wordt beschreven hoe u verbinding maakt met Microsoft Sentinel met behulp van verbindingen met diagnostische instellingen. Microsoft Sentinel maakt gebruik van de Azure foundation om ingebouwde service-naar-service-ondersteuning te bieden voor gegevensopname van veel Azure- en Microsoft 365-services, Amazon Web Services en verschillende Windows Server-services. Er zijn een aantal verschillende methoden waarmee deze verbindingen worden gemaakt.

Dit artikel bevat informatie die gemeenschappelijk is voor de groep gegevensconnectors die gebruikmaken van op diagnostische instellingen gebaseerde verbindingen. Sommige van deze typen connectors worden beheerd met behulp van Azure Policy. Gebruik de zelfstandige instructies voor de andere connectors van dit type.

Opmerking

Zie voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid de Microsoft Sentinel tabellen in Beschikbaarheid van cloudfuncties voor klanten van de Amerikaanse overheid.

Vereisten

Als u gegevens wilt opnemen in Microsoft Sentinel met behulp van een zelfstandige connector op basis van diagnostische instellingen, moet u lees- en schrijfmachtigingen hebben voor de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel.

Als u gegevens wilt opnemen in Microsoft Sentinel met behulp van connectors op basis van diagnostische instellingen die worden beheerd door Azure Policy, moet u ook aan de volgende vereisten voldoen:

  • Als u Azure Policy wilt gebruiken om een beleid voor logboekstreaming toe te passen op uw resources, moet u de rol Eigenaar hebben voor het beleidstoewijzingsbereik.

  • De volgende vereisten, afhankelijk van de connector die u gebruikt:

    Gegevensconnector Licentieverlening, kosten en andere informatie
    Azure-activiteit Deze connector maakt nu gebruik van de pijplijn voor diagnostische instellingen. Als u de verouderde methode gebruikt, moet u de bestaande abonnementen loskoppelen van de verouderde methode voordat u de nieuwe connector voor activiteitenlogboeken Azure instelt.

    1. Selecteer gegevensconnectors in het navigatiemenu Microsoft Sentinel. Selecteer in de lijst met connectors Azure Activiteit en selecteer vervolgens de knop Connector openen rechtsonder.
    2. Bekijk op het tabblad Instructies in de sectie Configuratie in stap 1 de lijst met uw bestaande abonnementen die zijn verbonden met de verouderde methode en koppel ze allemaal tegelijk los door te klikken op de knop Alles verbreken hieronder.
    3. Ga verder met het instellen van de nieuwe connector met de instructies in deze sectie.
    Azure DDoS Protection - Geconfigureerd Azure DDoS Standard-beveiligingsplan.
    - Geconfigureerd virtueel netwerk met Azure DDoS Standard ingeschakeld
    - Er kunnen andere kosten in rekening worden gebracht
    - De status voor Azure DDoS Protection Data Connector verandert alleen in Verbonden wanneer de beveiligde resources onder een DDoS-aanval staan.
    Azure opslagaccount De resource van het opslagaccount (bovenliggende) bevat andere (onderliggende) resources voor elk type opslag: bestanden, tabellen, wachtrijen en blobs.
    Wanneer u diagnostische gegevens voor een opslagaccount configureert, moet u het volgende selecteren en configureren:

    - De resource van het bovenliggende account, het exporteren van de metrische transactiegegevens.
    - Alle resources van het onderliggende opslagtype, alle logboeken en metrische gegevens worden geëxporteerd.

    U ziet alleen de opslagtypen waarvoor u daadwerkelijk resources hebt gedefinieerd.

Verbinding maken via een zelfstandige connector op basis van diagnostische instellingen

In deze procedure wordt beschreven hoe u verbinding maakt met Microsoft Sentinel met behulp van gegevensconnectors die gebruikmaken van zelfstandige verbindingen op basis van diagnostische instellingen.

  1. Selecteer gegevensconnectors in het navigatiemenu Microsoft Sentinel.

  2. Selecteer uw resourcetype in de galerie met gegevensconnectors en selecteer vervolgens Connectorpagina openen in het voorbeeldvenster.

  3. Selecteer in de sectie Configuratie van de connectorpagina de koppeling om de pagina resourceconfiguratie te openen.

    Als u een lijst met resources van het gewenste type ziet, selecteert u de koppeling voor een resource waarvan u de logboeken wilt opnemen.

  4. Selecteer diagnostische instellingen in het navigatiemenu van de resource.

  5. Selecteer + Diagnostische instelling toevoegen onderaan de lijst.

  6. Voer in het scherm Diagnostische instellingen een naam in het veld Naam van diagnostische instellingen in.

    Schakel het selectievakje Verzenden naar Log Analytics in. Eronder worden twee nieuwe velden weergegeven. Kies de relevante abonnements- en Log Analytics-werkruimte (waar Microsoft Sentinel zich bevindt).

  7. Schakel de selectievakjes in van de typen logboeken en metrische gegevens die u wilt verzamelen. Zie onze aanbevolen opties voor elk resourcetype in de sectie voor de connector van de resource op de naslagpagina gegevensconnectors .

  8. Selecteer Opslaan bovenaan het scherm.

Zie ook Diagnostische instellingen maken om Azure Monitor-platformlogboeken en metrische gegevens naar verschillende bestemmingen te verzenden in de documentatie voor Azure Controleren voor meer informatie.

Verbinding maken via een connector op basis van diagnostische instellingen die wordt beheerd door Azure Policy

In deze procedure wordt beschreven hoe u verbinding maakt met Microsoft Sentinel met behulp van gegevensconnectors die gebruikmaken van verbindingen die zijn gebaseerd op diagnostische instellingen en die worden beheerd door Azure Policy.

Connectors van dit type gebruiken Azure Policy om één configuratie voor diagnostische instellingen toe te passen op een verzameling resources van één type, gedefinieerd als een bereik. U ziet de logboektypen die zijn opgenomen uit een bepaald resourcetype aan de linkerkant van de connectorpagina voor die resource, onder Gegevenstypen.

  1. Selecteer gegevensconnectors in het navigatiemenu Microsoft Sentinel.

  2. Selecteer uw resourcetype in de galerie met gegevensconnectors en selecteer vervolgens Connectorpagina openen in het voorbeeldvenster.

  3. Vouw in de sectie Configuratie van de connectorpagina alle uitbreidingen uit die u daar ziet en selecteer de knop Wizard Toewijzing starten Azure Policy.

    De wizard beleidstoewijzing wordt geopend, klaar om een nieuw beleid te maken, met een vooraf ingevulde beleidsnaam.

    1. Selecteer op het tabblad Basisinformatie de knop met de drie puntjes onder Bereik om uw abonnement te kiezen (en, optioneel, een resourcegroep). U kunt ook een beschrijving toevoegen.

    2. Op het tabblad Parameters :

      • Schakel het selectievakje Alleen parameters weergeven waarvoor invoer is vereist uit.
      • Als u de velden Effect - en Instellingsnaam ziet, laat u deze staan.
      • Kies uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte.
      • De resterende vervolgkeuzelijsten vertegenwoordigen de beschikbare diagnostische logboektypen. Laat alle logboektypen die u wilt opnemen, gemarkeerd als Waar .

    3. Het beleid wordt in de toekomst toegepast op resources die worden toegevoegd. Als u het beleid ook wilt toepassen op uw bestaande resources, schakelt u het tabblad Herstel in en schakelt u het selectievakje Een hersteltaak maken in.

    4. Klik op het tabblad Controleren en maken op Maken. Uw beleid is nu toegewezen aan het bereik dat u hebt gekozen.

Bij dit type gegevensconnector worden de verbindingsstatusindicatoren (een kleurenstreep in de galerie met gegevensconnectors en verbindingspictogrammen naast de namen van het gegevenstype) alleen weergegeven als verbonden (groen) als er in de afgelopen 14 dagen gegevens zijn opgenomen. Zodra 14 dagen zijn verstreken zonder gegevensopname, wordt de verbinding van de connector weergegeven als verbroken. Zodra er meer gegevens binnenkomen, wordt de verbonden status geretourneerd.

U kunt de gegevens voor elk resourcetype zoeken en opvragen met behulp van de tabelnaam die wordt weergegeven in de sectie voor de connector van de resource op de referentiepagina Gegevensconnectors . Zie Diagnostische instellingen maken om Azure Monitor-platformlogboeken en metrische gegevens te verzenden naar verschillende bestemmingen in de documentatie voor Azure Controleren voor meer informatie.

Verwante onderwerpen

Zie voor meer informatie:

  • Last updated on