Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det, hvordan du opretter forbindelse til Microsoft Sentinel ved hjælp af forbindelser med diagnosticeringsindstillinger. Microsoft Sentinel bruger Azure-fundamentet til at levere indbygget understøttelse af dataindtagelse fra mange Azure og Microsoft 365-tjenester, Amazon Web Services og forskellige Windows Server tjenester. Der er et par forskellige metoder, som disse forbindelser oprettes gennem.
Denne artikel præsenterer oplysninger, der er fælles for gruppen af dataconnectors, der bruger diagnosticeringsindstillingersbaserede forbindelser. Nogle af disse typer connectors administreres ved hjælp af Azure politik. For de andre forbindelser af denne type skal du bruge de separate instruktioner.
Bemærk!
Du kan få oplysninger om tilgængelighed af funktioner i US Government-cloudmiljøer i Microsoft Sentinel tabeller i Cloudfunktionstilgængelighed for US Government-kunder.
Forudsætninger
Hvis du vil overføre data til Microsoft Sentinel ved hjælp af en separat connector, der er baseret på diagnosticeringsindstillinger, skal du have læse- og skrivetilladelser til det Log Analytics-arbejdsområde, der er aktiveret til Microsoft Sentinel.
Hvis du vil overføre data til Microsoft Sentinel ved hjælp af connectorer baseret på diagnosticeringsindstillinger, der administreres af Azure politik, skal du også have følgende forudsætninger:
Hvis du vil bruge Azure politik til at anvende en logstreamingpolitik på dine ressourcer, skal du have rollen Ejer for området for politiktildeling.
Følgende forudsætninger, afhængigt af hvilken connector du bruger:
Dataconnector Licenser, omkostninger og andre oplysninger Azure aktivitet Denne connector bruger nu pipelinen til diagnosticeringsindstillinger. Hvis du bruger den ældre metode, skal du afbryde forbindelsen mellem eksisterende abonnementer og den ældre metode, før du konfigurerer den nye connector Azure Activity log.
1. Vælg Dataconnectors i navigationsmenuen Microsoft Sentinel. På listen over forbindelser skal du vælge Azure Aktivitet og derefter vælge knappen Åbn forbindelsesside nederst til højre.
2. Under fanen Instruktioner i afsnittet Konfiguration i trin 1 skal du gennemse listen over dine eksisterende abonnementer, der er forbundet til den ældre metode, og afbryde dem alle på én gang ved at klikke på knappen Afbryd forbindelsen til alle nedenfor.
3. Fortsæt med at konfigurere den nye connector med vejledningen i dette afsnit.Azure DDoS Protection – Konfigureret DDoS-beskyttelsesplan for Azure Standard.
– Konfigureret virtuelt netværk med aktiveret Azure DDoS-Standard
- Der kan opkræves andre gebyrer
– Status for Azure DDoS Protection Data Connector ændres kun til Tilsluttet, når de beskyttede ressourcer er under et DDoS-angreb.Azure lagerkonto Lagerkontoens (overordnede) ressource har andre (underordnede) ressourcer til hver lagertype: filer, tabeller, køer og blobs.
Når du konfigurerer diagnosticering for en lagerkonto, skal du vælge og konfigurere:
– Ressourcen for den overordnede konto, der eksporterer metrikværdien Transaktion .
– Hver af de underordnede lagertyperessourcer eksporterer alle logge og målepunkter.
Du kan kun se de lagertyper, du rent faktisk har defineret ressourcer for.
Opret forbindelse via en separat connector med diagnosticeringsindstillinger
I denne procedure beskrives det, hvordan du opretter forbindelse til Microsoft Sentinel ved hjælp af dataconnectors, der bruger separate forbindelser baseret på diagnosticeringsindstillinger.
Vælg Dataconnectors i navigationsmenuen Microsoft Sentinel.
Vælg din ressourcetype i dataconnectorsgalleriet, og vælg derefter Åbn connectorside i indholdsruden.
I afsnittet Konfiguration på connectorsiden skal du vælge linket for at åbne ressourcekonfigurationssiden.
Hvis du får vist en liste over ressourcer af den ønskede type, skal du vælge linket for en ressource, hvis logfiler du vil overføre.
Vælg Diagnosticeringsindstillinger i menuen til ressourcenavigation.
Vælg + Tilføj diagnosticeringsindstilling nederst på listen.
På skærmen Indstillinger for diagnosticering skal du angive et navn i feltet Navn på diagnosticeringsindstillinger .
Markér afkrydsningsfeltet Send til Log Analytics . Der vises to nye felter under den. Vælg det relevante arbejdsområde for Abonnement og Log Analytics (hvor Microsoft Sentinel er placeret).
Markér afkrydsningsfelterne for de typer logge og målepunkter, du vil indsamle. Se vores anbefalede valg for hver ressourcetype i afsnittet om ressourcens connector på referencesiden Dataconnectorer .
Vælg Gem øverst på skærmen.
Du kan finde flere oplysninger i Opret også diagnosticeringsindstillinger for at sende Azure Overvåg platformlogge og -målepunkter til forskellige destinationer i dokumentationen til Azure Monitor.
Opret forbindelse via en connector baseret på diagnosticeringsindstilling, der administreres af Azure politik
I denne procedure beskrives det, hvordan du opretter forbindelse til Microsoft Sentinel ved hjælp af dataconnectors, der bruger forbindelser, der er baseret på diagnosticeringsindstillinger og administreres af Azure politik.
Forbindelser af denne type bruger Azure politik til at anvende en enkelt konfiguration af diagnosticeringsindstillinger på en samling af ressourcer af en enkelt type, der er defineret som et område. Du kan se de logtyper, der er indtaget fra en given ressourcetype, i venstre side af forbindelsessiden for den pågældende ressource under Datatyper.
Vælg Dataconnectors i navigationsmenuen Microsoft Sentinel.
Vælg din ressourcetype i dataconnectorsgalleriet, og vælg derefter Åbn connectorside i indholdsruden.
I afsnittet Konfiguration på connectorsiden skal du udvide de udvidelsesprogrammer, du kan se der, og vælge knappen Start Azure guiden Politiktildeling.
Guiden til politiktildeling åbnes og er klar til at oprette en ny politik med et forudindstillet politiknavn.
Under fanen Grundlæggende skal du vælge knappen med de tre prikker under Område for at vælge dit abonnement (og eventuelt en ressourcegruppe). Du kan også tilføje en beskrivelse.
Under fanen Parametre :
- Fjern markeringen i afkrydsningsfeltet Vis kun parametre, der kræver input .
- Hvis du kan se felterne Effekt og Indstillingsnavn , skal du lade dem være, som de er.
- Vælg dit Microsoft Sentinel arbejdsområde på rullelisten loganalysearbejdsområde.
- De resterende rullelistefelter repræsenterer de tilgængelige logtyper for diagnosticering. Lad alle de logtyper, du vil indtage, være markeret som Sand .
Politikken anvendes på ressourcer, der tilføjes fremover. Hvis du også vil anvende politikken på dine eksisterende ressourcer, skal du vælge fanen Afhjælpning og markere afkrydsningsfeltet Opret en afhjælpningsopgave .
Klik på Opret under fanen Gennemse + opret. Din politik er nu tildelt til det område, du har valgt.
Med denne type dataconnector vises forbindelsesstatusindikatorerne (en farvestribe i dataconnectorgalleriet og forbindelsesikonerne ud for datatypenavnene) kun som forbundne (grønne), hvis data er blevet indtaget på et tidspunkt i løbet af de seneste 14 dage. Når der er gået 14 dage uden dataindtagelse, vises forbindelsen som afbrudt. I det øjeblik, der kommer flere data, returneres den forbundne status.
Du kan finde og forespørge om dataene for hver ressourcetype ved hjælp af det tabelnavn, der vises i sektionen for ressourcens connector på referencesiden Dataconnectorer . Du kan finde flere oplysninger under Opret diagnosticeringsindstillinger for at sende Azure Overvåg platformlogge og -målepunkter til forskellige destinationer i dokumentationen til Azure Monitor.
Relateret indhold
Du kan finde flere oplysninger under: