Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In dieser Schnellstartanleitung aktivieren Sie Microsoft Sentinel und installieren eine Lösung über den Inhaltshub. Anschließend richten Sie einen Datenconnector ein, um mit der Erfassung von Daten in Microsoft Sentinel zu beginnen.
Microsoft Sentinel verfügt über viele Datenconnectors für Microsoft-Produkte, z. B. den Microsoft Defender-XDR-Dienst-zu-Dienst-Connector. Darüber hinaus können Sie integrierte Connectors für Nicht-Microsoft-Produkte aktivieren, z. B. Syslog oder Common Event Format (CEF). In dieser Schnellstartanleitung verwenden Sie den Azure Activity-Datenconnector, der in der Azure Activity-Lösung für Microsoft Sentinel verfügbar ist.
Informationen zum Onboarding in Microsoft Sentinel mithilfe der API finden Sie in der neuesten unterstützten Version von Sentinel Onboarding States.
Voraussetzungen
Ein aktives Azure-Abonnement. Sollten Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Log Analytics-Arbeitsbereich Informationen zum Erstellen eines Log Analytics-Arbeitsbereichs finden Sie hier. Weitere Informationen zu Log Analytics-Arbeitsbereichen finden Sie unter Entwerfen Ihrer Azure Monitor-Protokollbereitstellung.
In dem für Microsoft Sentinel verwendeten Log Analytics-Arbeitsbereich ist eine Aufbewahrungsdauer von 30 Tagen festgelegt. Um sicherzustellen, dass Sie alle Funktionen und Features von Microsoft Sentinel verwenden können, erhöhen Sie die Aufbewahrungsdauer auf 90 Tage. Konfigurieren von Datenaufbewahrungs- und Archivrichtlinien in Azure Monitor-Protokollen
Berechtigungen:
Um Microsoft Sentinel zu aktivieren, benötigen Sie Berechtigungen als Mitwirkender für das Abonnement, in dem sich der Microsoft Sentinel-Arbeitsbereich befindet.
Für die Ressourcengruppe, zu der der Arbeitsbereich gehört, benötigen Sie entweder Berechtigungen als Microsoft Sentinel-Mitwirkender oder Microsoft Sentinel-Leser, um Microsoft Sentinel zu verwenden.
Zum Installieren oder Verwalten von Lösungen im Inhaltshub benötigen Sie die Rolle Microsoft Sentinel-Mitwirkender für die Ressourcengruppe, zu der der Arbeitsbereich gehört.
Wenn Sie ein neuer Microsoft Sentinel-Kunde sind und über Berechtigungen für einen Abonnementbesitzer oder einen Benutzerzugriffsadministrator verfügen, wird Ihr Arbeitsbereich automatisch in das Defender-Portal integriert. Benutzer solcher Arbeitsbereiche verwenden nur Microsoft Sentinel im Defender-Portal .
Microsoft Sentinel ist ein kostenpflichtiger Dienst. Überprüfen Sie die Preisoptionen und die Microsoft Sentinel-Preisseite.
Überprüfen Sie vor der Bereitstellung von Microsoft Sentinel in einer Produktionsumgebung die Aktivitäten und Voraussetzungen für die Bereitstellung von Microsoft Sentinel.
Aktivieren von Microsoft Sentinel
Fügen Sie zunächst Microsoft Sentinel zu einem vorhandenen Arbeitsbereich hinzu, oder erstellen Sie einen neuen Arbeitsbereich.
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Sentinel, und wählen Sie diese Lösung aus.
Klicken Sie auf Erstellen.
Wählen Sie den Arbeitsbereich aus, den Sie verwenden möchten, oder erstellen Sie einen neuen. Sie können Microsoft Sentinel auf mehreren Arbeitsbereichen ausführen, daten sind jedoch in einem einzigen Arbeitsbereich isoliert.
- Die Standardarbeitsbereiche, die von Microsoft Defender for Cloud erstellt wurden, werden nicht in der Liste angezeigt. Sie können Microsoft Sentinel nicht in diesen Arbeitsbereichen installieren.
- Nach der Bereitstellung in einem Arbeitsbereich bietet Microsoft Sentinel keine Unterstützung für das Verschieben dieses Arbeitsbereichs in andere Ressourcengruppen oder Abonnements.
Wählen Sie Hinzufügen.
Hinweis
Wenn Ihr Arbeitsbereich nicht automatisch in das Defender-Portal integriert ist, empfehlen wir das Onboarding für eine einheitliche Oberfläche beim Verwalten von Sicherheitsvorgängen (SecOps) in Microsoft Sentinel und anderen Microsoft-Sicherheitsdiensten. Weitere Informationen finden Sie unter Onboarding von Microsoft Sentinel im Defender-Portal.
Wenn Ihr Arbeitsbereich automatisch integriert ist oder Sie sich entscheiden, Ihren Arbeitsbereich jetzt zu integrieren, können Sie die Verfahren in diesem Artikel über das Defender-Portal fortsetzen. Wenn Sie das Defender-Portal zum ersten Mal verwenden, gibt es eine Verzögerung von ein paar Minuten, während der Vorgang abgeschlossen ist.
Zugreifen auf Microsoft Sentinel im Defender-Portal
Dieses Verfahren ist relevant, wenn Sie automatisch in das Defender-Portal eingebunden werden oder wenn Sie ihren Arbeitsbereich nach der Aktivierung von Microsoft Sentinel in das Defender-Portal integrieren möchten.
So greifen Sie im Defender-Portal auf Microsoft Sentinel zu:
Melden Sie sich beim Defender-Portal an.
Wenn Sie zum ersten Mal auf das Defender-Portal zugreifen, dauert es einige Zeit, Ihren Mandanten bereitzustellen.
Nach der Bereitstellung wird Ihnen Microsoft Sentinel im Navigationsbereich angezeigt, wobei Microsoft Sentinel-Knoten darin verschachtelt sind. Beispiel:
Scrollen Sie im Navigationsbereich nach unten, und wählen Sie "Einstellungen>" für Microsoft Sentinel-Arbeitsbereiche > aus, um die Arbeitsbereiche anzuzeigen, die in das Defender-Portal integriert sind und ihnen zur Verfügung stehen.
Das Defender-Portal unterstützt mehrere Arbeitsbereiche, wobei ein Arbeitsbereich als primärer Arbeitsbereich pro Mandant fungiert. Weitere Informationen finden Sie unter Mehreren Microsoft Sentinel-Arbeitsbereichen im Defender-Portal und der Microsoft Defender-Mehrinstanzenverwaltung.
Installieren einer Lösung über den Content Hub
Der Inhaltshub in Microsoft Sentinel ist der zentrale Ort zum Ermitteln und Verwalten von sofort einsatzbereiten Inhalten, einschließlich Datenconnectors. Installieren Sie für diese Schnellstartanleitung die Lösung für Azure Activity.
Navigieren Sie in Microsoft Sentinel zur Inhaltshubseite , und suchen Sie die Azure Activity-Lösung , und wählen Sie sie aus.
- Wählen Sie im Bereich "Lösungsdetails" an der Seite "Installieren" aus.
Einrichten der Datenconnectors
Microsoft Sentinel erfasst Daten aus Diensten und Apps, indem eine Verbindung mit dem Dienst hergestellt wird und die Ereignisse und Protokolle an Microsoft Sentinel weitergeleitet werden. Installieren Sie für diese Schnellstartanleitung den Datenconnector, um Daten für Azure Activity an Microsoft Sentinel weiterzuleiten.
Wählen Sie in Microsoft Sentinel Konfiguration>Datenconnectors aus, und suchen Sie nach dem Azure Activity-Datenconnector.
Wählen Sie im Bereich "Connectordetails" die Option "Connectorseite öffnen" aus. Verwenden Sie die Anweisungen auf der Seite Azure Activity-Konnektor, um den Datenkonnektor einzurichten.
Wählen Sie den Azure-Richtlinienzuweisungs-Assistenten starten aus.
Legen Sie auf der Registerkarte Grundlagen den Bereich auf das Abonnement und die Ressourcengruppe fest, für die Aktivitäten an Microsoft Sentinel gesendet werden sollen. Wählen Sie beispielsweise das Abonnement aus, das Ihre Microsoft Sentinel-Instanz enthält.
Wählen Sie die Registerkarte "Parameter " aus, und legen Sie den Primären Log Analytics-Arbeitsbereich fest. Dies sollte der Arbeitsbereich sein, in dem Microsoft Sentinel installiert ist.
Wählen Sie Überprüfen + erstellen und dann Erstellen aus.
Generieren von Aktivitätsdaten
Generieren Sie einige Aktivitätsdaten, indem Sie eine Regel aktivieren, die in der Azure-Activity Lösung für Microsoft Sentinel enthalten war. In diesem Schritt erfahren Sie auch, wie Sie Inhalte im Inhaltshub verwalten.
Wählen Sie in Microsoft Sentinel den Inhaltshub aus und suchen Sie in der Azure Activity-Lösung nach der Vorlage für die verdächtige Ressourcenbereitstellungsregel und wählen Sie diese aus.
Wählen Sie im Detailbereich die Option " Regel erstellen" aus, um eine neue Regel mithilfe des Analyseregel-Assistenten zu erstellen.
Ändern Sie im Analytics-Regel-Assistenten – Erstellen einer neuen geplanten Regel-Seite den Status in Aktiviert.
Lassen Sie auf dieser Registerkarte und allen anderen Registerkarten im Assistenten die Standardwerte unverändert.
Wählen Sie auf der Registerkarte Überprüfen und erstellen die Option Erstellen aus.
Anzeigen der in Microsoft Sentinel erfassten Daten
Nachdem Sie nun den Azure Activity-Datenconnector aktiviert und einige Aktivitätsdaten generiert haben, sehen wir uns die Aktivitätsdaten an, die dem Arbeitsbereich hinzugefügt wurden.
Wählen Sie in Microsoft Sentinel Konfiguration>Datenconnectors aus, und suchen Sie nach dem Azure Activity-Datenconnector.
Wählen Sie im Bereich "Connectordetails" die Option "Connectorseite öffnen" aus.
Überprüfen Sie den Status des Datenconnectors. Er sollte Verbunden lauten.
Wählen Sie eine Registerkarte aus, um fortzufahren, je nachdem, welches Portal Sie verwenden:
Wählen Sie Gehe zu Protokollanalyse, um die Seite Erweiterte Suche zu öffnen.
Wählen Sie oben im Bereich neben der Registerkarte "Neue Abfrage " die + Option aus, um eine neue Abfrageregisterkarte hinzuzufügen.
Führen Sie die folgende Abfrage aus, um das in den Arbeitsbereich aufgenommene Aktivitätsdatum anzuzeigen:
AzureActivity
Beispiel:
Nächste Schritte
In dieser Schnellstartanleitung haben Sie Microsoft Sentinel aktiviert und eine Lösung über den Inhaltshub installiert. Anschließend haben Sie einen Datenconnector eingerichtet, um mit der Erfassung von Daten in Microsoft Sentinel zu beginnen. Sie haben auch überprüft, ob Daten erfasst werden, indem Sie die Daten im Arbeitsbereich angezeigt haben.
Wenn Sie ein neuer Kunde sind, der automatisch in das Defender-Portal integriert wurde, greifen Ihre Benutzer nur im Defender-Portal auf Microsoft Sentinel zu. Stellen Sie beim Verwenden der Microsoft Sentinel-Dokumentation sicher, dass Sie die Defender-Portalversion der Dokumentation auswählen.
- Informationen zum Visualisieren der gesammelten Daten mithilfe der Dashboards und Arbeitsmappen finden Sie unter Visualisieren gesammelter Daten.
- Informationen zum Erkennen von Bedrohungen mithilfe von Analyseregeln finden Sie unter Tutorial: Erkennen von Bedrohungen mithilfe von Analyseregeln in Microsoft Sentinel.