Connettere Microsoft Sentinel ad altri servizi Microsoft usando connessioni basate su impostazioni di diagnostica

Questo articolo descrive come connettersi a Microsoft Sentinel usando connessioni basate su impostazioni di diagnostica. Microsoft Sentinel usa la base di Azure per fornire un supporto predefinito da servizio a servizio per l'inserimento di dati da molti servizi di Azure e Microsoft 365, Amazon Web Services e vari servizi Windows Server. Esistono alcuni metodi diversi tramite cui vengono effettuate queste connessioni.

Questo articolo presenta informazioni comuni per il gruppo di connettori dati che usano connessioni basate su impostazioni di diagnostica. Alcuni di questi tipi di connettori vengono gestiti tramite Criteri di Azure. Per gli altri connettori di questo tipo, usare le istruzioni autonome.

Prerequisiti

Per inserire dati in Microsoft Sentinel usando un connettore autonomo basato sulle impostazioni di diagnostica, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel.

Per inserire dati in Microsoft Sentinel usando i connettori basati sulle impostazioni di diagnostica gestiti da Criteri di Azure, è necessario disporre anche dei prerequisiti seguenti:

• Per usare Criteri di Azure per applicare criteri di streaming di log alle risorse, è necessario avere il ruolo Proprietario per l'ambito di assegnazione dei criteri.

• I prerequisiti seguenti, a seconda del connettore in uso:

  Connettore dati	Licenze, costi e altre informazioni
  Attività di Azure	Questo connettore usa ora la pipeline delle impostazioni di diagnostica. Se si usa il metodo legacy, è necessario disconnettere le sottoscrizioni esistenti dal metodo legacy prima di configurare il nuovo connettore dei log attività di Azure. 1. Nel menu di spostamento di Microsoft Sentinel selezionare Connettori dati. Nell'elenco dei connettori selezionare Attività di Azure e quindi selezionare il pulsante Aprire la pagina del connettore in basso a destra. 2. Nella scheda Istruzioni, nella sezione Configurazione del passaggio 1, esaminare l'elenco delle sottoscrizioni esistenti connesse al metodo legacy e disconnetterle tutte contemporaneamente facendo clic sul pulsante Disconnetti tutto. 3. Continuare a configurare il nuovo connettore con le istruzioni riportate in questa sezione.
  Protezione di Azure dagli attacchi DDoS	- Piano Protezione DDoS di Azure Standard configurato - Rete virtuale con azure DDoS Standard abilitato configurata - Possono applicarsi altri addebiti - Lo stato per il connettore dati Protezione DDoS di Azure diventa Connesso solo quando le risorse protette subiscono un attacco DDoS.
  Account di archiviazione di Azure	La risorsa dell'account di archiviazione (padre) contiene altre risorse (figlio) per ogni tipo di archiviazione: file, tabelle, code e BLOB. Quando si configura la diagnostica per un account di archiviazione, è necessario selezionare e configurare: - La risorsa account padre, esportando la metrica Transazione. - Ognuna delle risorse di tipo di archiviazione figlio, esportando tutti i log e le metriche. Verranno visualizzati solo i tipi di archiviazione per cui sono state effettivamente definite le risorse.

Connettersi tramite un connettore autonomo basato sulle impostazioni di diagnostica

Questa procedura descrive come connettersi a Microsoft Sentinel usando connettori dati che usano connessioni autonome in base alle impostazioni di diagnostica.

1. Nel menu di spostamento di Microsoft Sentinel selezionare Connettori dati.

2. Selezionare il tipo di risorsa dalla raccolta di connettori dati e quindi selezionare Aprire la pagina del connettore nel riquadro di anteprima.

3. Nella sezione Configurazione della pagina del connettore selezionare il collegamento per aprire la pagina di configurazione della risorsa.

   Se viene visualizzato un elenco di risorse del tipo desiderato, selezionare il collegamento a una risorsa di cui inserire i log.

4. Nel menu di spostamento delle risorse selezionare Impostazioni di diagnostica.

5. Selezionare + Aggiungi impostazione di diagnostica nella parte inferiore dell'elenco.

6. Nella schermata Impostazioni di diagnostica immettere un nome nel campo Nome impostazioni di diagnostica.

   Selezionare la casella di controllo Invia a Log Analytics. Di seguito sono visualizzati due nuovi campi. Scegliere i valori appropriati per Sottoscrizione e Area di lavoro Log Analytics (la posizione in cui risiede Microsoft Sentinel).

7. Selezionare le caselle di controllo corrispondenti ai tipi di log e metriche da raccogliere. Vedere le opzioni consigliate per ogni tipo di risorsa nella sezione relativa al connettore della risorsa nella pagina Informazioni di riferimento sui connettori dati.

8. Seleziona Salva nella parte superiore della schermata.

Per altre informazioni, vedere anche Creare le impostazioni di diagnostica per inviare le metriche e i log della piattaforma Monitoraggio di Azure a destinazioni diverse nella documentazione di Monitoraggio di Azure.

Connettersi tramite un connettore basato su impostazioni di diagnostica gestito da Criteri di Azure

Questa procedura descrive come connettersi a Microsoft Sentinel usando connettori dati che usano connessioni basate sulle impostazioni di diagnostica e vengono gestite da Criteri di Azure.

I connettori di questo tipo usano Criteri di Azure per applicare una singola configurazione delle impostazioni di diagnostica a una raccolta di risorse di un singolo tipo, definita come ambito. È possibile visualizzare i tipi di log inseriti da un determinato tipo di risorsa sul lato sinistro della pagina del connettore per tale risorsa, in Tipi di dati.

1. Nel menu di spostamento di Microsoft Sentinel selezionare Connettori dati.

2. Selezionare il tipo di risorsa dalla raccolta di connettori dati e quindi selezionare Aprire la pagina del connettore nel riquadro di anteprima.

3. Nella sezione Configurazione della pagina del connettore espandere eventuali espansori visualizzati e selezionare il pulsante Avvia l'assegnazione guidata di Criteri di Azure.

   Verrà aperta la procedura guidata di assegnazione dei criteri, pronta per creare un nuovo criterio, con un nome di criterio prepopolato.

   1. Nella scheda Informazioni di base selezionare il pulsante con i tre puntini in Ambito per scegliere la sottoscrizione e, facoltativamente, un gruppo di risorse. È anche possibile aggiungere una descrizione.

   2. Nella scheda Parametri:

      • Deselezionare la casella di controllo Mostra solo i parametri che richiedono input.
      • Se vengono visualizzati i campi Effetto e Nome impostazione, lasciarli invariati.
      • Scegliere l'area di lavoro di Microsoft Sentinel nell'elenco a discesa Area di lavoro Log Analytics.
      • I campi a discesa rimanenti rappresentano i tipi di log di diagnostica disponibili. Lasciare contrassegnato come True tutti i tipi di log da inserire.

   3. I criteri verranno applicati alle risorse aggiunte in futuro. Per applicare i criteri anche alle risorse esistenti, selezionare la scheda Correzione e selezionare la casella di controllo Crea un'attività di correzione.

   4. Nella scheda Rivedi e crea fare clic su Crea. I criteri sono ora assegnati all'ambito scelto.

Con questo tipo di connettore dati, gli indicatori di stato della connettività (una striscia di colori nella raccolta dei connettori dati e le icone di connessione accanto ai nomi dei tipi di dati) vengono visualizzati come connessi (verde) solo se i dati sono stati inseriti in un determinato punto negli ultimi 14 giorni. Una volta trascorsi 14 giorni senza inserimento dati, il connettore viene visualizzato come disconnesso. Il momento in cui vengono restituiti altri dati, lo stato connesso viene restituito.

È possibile trovare ed eseguire query sui dati per ogni tipo di risorsa usando il nome di tabella visualizzato nella sezione relativa al connettore della risorsa nella pagina Informazioni di riferimento sui connettori dati. Per altre informazioni, vedere Creare le impostazioni di diagnostica per inviare le metriche e i log della piattaforma Monitoraggio di Azure a destinazioni diverse nella documentazione di Monitoraggio di Azure.

Contenuto correlato

Per altre informazioni, vedi:

• Catalogo delle soluzioni Microsoft Sentinel
• Integrazione dell'intelligence sulle minacce in Microsoft Sentinel