Ansluta Microsoft Sentinel till andra Microsoft-tjänster med hjälp av diagnostikinställningarsbaserade anslutningar

Den här artikeln beskriver hur du ansluter till Microsoft Sentinel med hjälp av diagnostikinställningar. Microsoft Sentinel använder Azure foundation för att tillhandahålla inbyggt service-till-tjänst-stöd för datainmatning från många Azure- och Microsoft 365-tjänster, Amazon Web Services och olika Windows Server-tjänster. Det finns några olika metoder för att upprätta dessa anslutningar.

Den här artikeln innehåller information som är gemensam för den grupp med dataanslutningar som använder diagnostikinställningarsbaserade anslutningar. Vissa av dessa typer av anslutningsappar hanteras med hjälp av Azure Policy. Använd de fristående anvisningarna för andra anslutningsappar av den här typen.

Obs!

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Tillgänglighet för molnfunktioner för amerikanska myndighetskunder.

Förhandskrav

Om du vill mata in data i Microsoft Sentinel med hjälp av en fristående, diagnostikinställningsbaserad anslutningsapp måste du ha läs- och skrivbehörigheter på Log Analytics-arbetsytan aktiverad för Microsoft Sentinel.

Om du vill mata in data i Microsoft Sentinel med hjälp av diagnostikinställningarbaserade anslutningsappar som hanteras av Azure Policy måste du också ha följande förutsättningar:

  • Om du vill använda Azure Policy för att tillämpa en loggströmningsprincip på dina resurser måste du ha rollen Ägare för principtilldelningsomfånget.

  • Följande förutsättningar, beroende på vilken anslutningsapp du använder:

    Dataanslutning Licensiering, kostnader och annan information
    Azure aktivitet Den här anslutningsappen använder nu pipelinen för diagnostikinställningar. Om du använder den äldre metoden måste du koppla bort befintliga prenumerationer från den äldre metoden innan du konfigurerar den nya Azure aktivitetslogganslutningsappen.

    1. I navigeringsmenyn Microsoft Sentinel väljer du Dataanslutningsprogram. I listan över anslutningsappar väljer du Azure Aktivitet och sedan knappen Öppna anslutningsappens sida längst ned till höger.
    2. Under fliken Instruktioner går du till avsnittet Konfiguration i steg 1 och läser listan över befintliga prenumerationer som är anslutna till den äldre metoden och kopplar bort dem på en gång genom att klicka på knappen Koppla från alla nedan.
    3. Fortsätt att konfigurera den nya anslutningsappen med anvisningarna i det här avsnittet.
    Azure DDoS-skydd – Konfigurerad Azure DDoS Standard-skyddsplan.
    – Konfigurerat virtuellt nätverk med Azure DDoS Standard aktiverat
    - Andra avgifter kan tillkomma
    Status för Azure DDoS Protection Data Connector ändras till Ansluten endast när de skyddade resurserna är under en DDoS-attack.
    Azure lagringskonto Lagringskontoresursen (överordnad) har andra (underordnade) resurser för varje typ av lagring: filer, tabeller, köer och blobar.
    När du konfigurerar diagnostik för ett lagringskonto måste du välja och konfigurera:

    – Den överordnade kontoresursen som exporterar transaktionsmåttet .
    – Var och en av de underordnade resurserna av lagringstyp och exporterar alla loggar och mått.

    Du ser bara de lagringstyper som du faktiskt har definierat resurser för.

Ansluta via en fristående diagnostikinställningsbaserad anslutningsapp

Den här proceduren beskriver hur du ansluter till Microsoft Sentinel med hjälp av dataanslutningar som använder fristående anslutningar baserat på diagnostikinställningar.

  1. På navigeringsmenyn Microsoft Sentinel väljer du Dataanslutningar.

  2. Välj din resurstyp från galleriet för dataanslutningsappar och välj sedan Öppna anslutningssidan i förhandsgranskningsfönstret.

  3. I avsnittet Konfiguration på anslutningssidan väljer du länken för att öppna resurskonfigurationssidan.

    Om du ser en lista över resurser av önskad typ väljer du länken för en resurs vars loggar du vill mata in.

  4. I resursnavigeringsmenyn väljer du Diagnostikinställningar.

  5. Välj + Lägg till diagnostikinställning längst ned i listan.

  6. På skärmen Diagnostikinställningar anger du ett namn i fältet Namn på diagnostikinställningar .

    Markera kryssrutan Skicka till Log Analytics . Två nya fält visas under det. Välj relevant prenumeration och Log Analytics-arbetsyta (där Microsoft Sentinel finns).

  7. Markera kryssrutorna för de typer av loggar och mått som du vill samla in. Se våra rekommenderade alternativ för varje resurstyp i avsnittet för resursanslutningsappen på referenssidan för dataanslutningsappar .

  8. Välj Spara överst på skärmen.

Mer information finns i skapa diagnostikinställningar för att skicka Azure Övervaka plattformsloggar och mått till olika mål i dokumentationen för Azure Monitor.

Ansluta via en diagnostikinställningsbaserad anslutningsapp som hanteras av Azure Policy

Den här proceduren beskriver hur du ansluter till Microsoft Sentinel med hjälp av dataanslutningar som använder anslutningar som baseras på diagnostikinställningar och hanteras av Azure Policy.

Anslutningsappar av den här typen använder Azure Policy för att tillämpa en enda konfiguration av diagnostikinställningar på en samling resurser av en enda typ, som definieras som ett omfång. Du kan se loggtyperna som matas in från en viss resurstyp till vänster på anslutningssidan för den resursen, under Datatyper.

  1. På navigeringsmenyn Microsoft Sentinel väljer du Dataanslutningar.

  2. Välj din resurstyp från galleriet för dataanslutningsappar och välj sedan Öppna anslutningssidan i förhandsgranskningsfönstret.

  3. I avsnittet Konfiguration på anslutningssidan expanderar du alla expanderare som visas där och väljer knappen Starta Azure Policy tilldelningsguiden.

    Guiden för principtilldelning öppnas, redo att skapa en ny princip, med ett förifyllt principnamn.

    1. På fliken Grundläggande väljer du knappen med de tre punkterna under Omfång för att välja din prenumeration (och eventuellt en resursgrupp). Du kan också lägga till en beskrivning.

    2. På fliken Parametrar :

      • Avmarkera kryssrutan Visa endast parametrar som kräver indata .
      • Om du ser fälten Effekt och Inställningsnamn lämnar du dem som de är.
      • Välj din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta.
      • De återstående listrutefälten representerar tillgängliga typer av diagnostikloggar. Lämna markerat som Sant alla loggtyper som du vill mata in.

    3. Principen tillämpas på resurser som läggs till i framtiden. Om du vill tillämpa principen på dina befintliga resurser markerar du fliken Reparation och markerar kryssrutan Skapa en reparationsaktivitet .

    4. På fliken Granska + skapa klickar du på Skapa. Din princip har nu tilldelats det omfång som du har valt.

Med den här typen av dataanslutningsapp visas anslutningsstatusindikatorerna (en färgremsa i galleriet för dataanslutningsappar och anslutningsikoner bredvid datatypsnamnen) som anslutna (gröna) endast om data har matats in någon gång under de senaste 14 dagarna. När 14 dagar har passerat utan datainmatning visas anslutningsappen som frånkopplad. När mer data kommer returneras den anslutna statusen.

Du kan hitta och fråga efter data för varje resurstyp med tabellnamnet som visas i avsnittet för resursanslutningsappen på referenssidan för dataanslutningsappar . Mer information finns i Skapa diagnostikinställningar för att skicka Azure Övervaka plattformsloggar och mått till olika mål i dokumentationen för Azure Monitor.

Relaterat innehåll

Mer information finns i:

  • Last updated on