快速入门：加入 Microsoft Sentinel

2025-04-30

在本快速入门中，你将启用 Microsoft Sentinel 并从内容中心安装解决方案。然后，设置数据连接器以开始将数据引入 Microsoft Sentinel。

Microsoft Sentinel 附带了许多面向 Microsoft 产品的数据连接器，例如，Microsoft Defender XDR 服务到服务连接器。还可以启用面向非 Microsoft 产品（例如 Syslog 或通用事件格式 [CEF]）的内置连接器。对于本快速入门，你将使用 Microsoft Sentinel 的 Azure 活动解决方案中提供的 Azure 活动数据连接器。

若要使用 API 载入到 Microsoft Sentinel，请参阅最新支持的 Sentinel 载入状态版本。

先决条件

有效的 Azure 订阅。如果没有帐户，请在开始之前创建一个免费帐户。
Log Analytics 工作区。了解如何创建 Log Analytics 工作区。有关 Log Analytics 工作区的详细信息，请参阅设计 Azure Monitor 日志部署。

在用于 Microsoft Sentinel 的 Log Analytics 工作区中，默认保留期为 30 天。若要确保你可以使用所有 Microsoft Sentinel 功能和特性，请将保留期提高到 90 天。在 Azure Monitor 日志中配置数据保留和存档策略。
权限：
- 若要启用 Microsoft Sentinel，需要获取 Microsoft Sentinel 工作区所在订阅的参与者权限。
- 若要使用 Microsoft Sentinel，您需要在工作区所属的资源组拥有 Microsoft Sentinel 参与者 或 Microsoft Sentinel 读取者 权限。
- 要在内容中心安装或管理解决方案，需要在工作区所属的资源组上具有“Microsoft Sentinel 参与者”角色。
Microsoft Sentinel 是付费服务。查看定价选项和 Microsoft Sentinel 定价页。
在将 Microsoft Sentinel 部署到生产环境之前，请查看预部署活动和部署 Microsoft Sentinel 的先决条件。

启用 Microsoft Sentinel

如果要开始，请将 Microsoft Sentinel 添加到现有工作区或创建新工作区。

登录到 Azure 门户。
搜索“Microsoft Sentinel”并将其选中。
选择“ 创建”。
选择要使用的工作区，或创建新工作区。可在多个工作区上运行 Microsoft Sentinel，但将数据隔离到单个工作区。
- 列表中未显示由 Microsoft Defender for Cloud 创建的默认工作区。你无法在这些工作区上安装 Microsoft Sentinel。
- 部署在工作区上后，Microsoft Sentinel 不支持将该工作区移至其他资源组或订阅。
选择 “添加”。

小窍门

建议将您的工作区接入 Defender 门户，以便在 Microsoft Sentinel 和其他 Microsoft 安全服务中统一管理安全运营（SecOps）。

如果你现在决定加入工作区，可以从 Defender 门户继续执行本文中的过程。有关详细信息，请参阅将 Microsoft Sentinel 加入到 Defender 门户。

从内容中心安装解决方案

Microsoft Sentinel 中的内容中心是用于发现和管理现成内容（包括数据连接器）的集中位置。对于本快速入门，请安装适用于 Azure 活动的解决方案。

在 Microsoft Sentinel 中，选择 “内容中心”。
找到并选择 Azure 活动 解决方案。
- Defender 门户
- Azure 门户

在右侧的解决方案详细信息窗格中，选择“ 安装”。

设置数据连接器

Microsoft Sentinel 连接到服务并将事件和日志转发到 Microsoft Sentinel，以便引入服务和应用中的数据。对于本快速入门，请安装数据连接器以将 Azure 活动的数据转发到 Microsoft Sentinel。

在 Microsoft Sentinel 中，选择 “配置”>数据连接器，然后搜索并选择 “Azure 活动”数据连接器。
在“连接器详细信息”窗格中，选择“ 打开连接器”页。使用 Azure 活动 连接器页上的说明设置数据连接器。
1. 选择“启动 Azure Policy 分配向导”。
2. 在“基本信息”选项卡上，将“范围”设置为具有要发送到 Microsoft Sentinel 的活动的订阅和资源组。例如，选择包含 Microsoft Sentinel 实例的订阅。
3. 选择“ 参数 ”选项卡，并设置 主 Log Analytics 工作区。这应是安装 Microsoft Sentinel 的工作区。
4. 依次选择“审阅 + 创建”和“创建”。

生成活动数据

让我们通过启用 Microsoft Sentinel 的 Azure 活动解决方案中包含的规则来生成一些活动数据。此步骤还演示了如何管理内容中心的内容。

在 Microsoft Sentinel 中，选择内容中心，然后在 Azure 活动解决方案中搜索并选择可疑资源部署规则模板。
在详细信息窗格中，选择“ 创建规则 ”以使用 Analytics 规则向导创建新规则。
在 “分析规则向导 - 创建新的计划规则 ”页中，将 “状态 ”更改为 “已启用”。

在此选项卡上和向导中的所有其他选项卡上，保留默认值。
在“ 审阅和创建 ”选项卡上，选择“ 创建”。

查看引入到 Microsoft Sentinel 中的数据

现在，你已启用 Azure 活动数据连接器并生成了一些活动数据，接下来请查看添加到工作区的活动数据。

在 Microsoft Sentinel 中，选择 “配置”>数据连接器，然后搜索并选择 “Azure 活动”数据连接器。
在“连接器详细信息”窗格中，选择“ 打开连接器”页。
查看数据连接器 的状态 。它应为 Connected。
选择一个选项卡以继续，具体取决于所使用的门户：
- Defender 门户
- Azure 门户
1. 选择 转到日志分析 以打开 高级搜索 页。
2. 在窗格顶部的“ 新建查询 ”选项卡旁边，选择 + “添加新查询”选项卡。
3. 运行以下查询以查看引入到工作区的活动日期：
```
AzureActivity
```
例如：
1. 选择 转到查询 以在 Azure 门户中打开日志页。
2. 在窗格顶部的 “新建查询 1 ”选项卡旁边，选择 + “添加新查询”选项卡。
3. 在侧边，从 简单模式 切换到 KQL 模式，并运行以下查询以查看引入到工作区的活动日期：
```
AzureActivity
```
例如：

后续步骤

在本快速入门中，你启用了 Microsoft Sentinel，并从内容中心安装了解决方案。然后，你设置了数据连接器以开始将数据引入 Microsoft Sentinel。你还通过查看工作区中的数据验证了是否正在引入数据。

若要使用仪表板和工作簿可视化你收集的数据，请参阅可视化收集的数据。
若要使用分析规则检测威胁，请参阅教程：使用 Microsoft sentinel 中的分析规则检测威胁。

通过