將微軟服務連接到MS Sentinel

我們可以使用Sentinel的資料連接器將 Microsoft 365 和 Azure 服務連接到 Microsoft Sentinel 工作區。資料連接器包含在開箱即用 (OOTB) 或內建Content Hub解決方案中。

Microsoft services connectors的規劃

安裝Content Hub解決方案後，只需點擊幾下滑鼠，即可在資料連接器頁面設定部分連接 Microsoft Defender 和 Azure 相關服務。通常我們很容易忽略每個連接器的特定注意事項。本文說明三個服務的連接。每個服務將資料傳送到不同的資料類型（tables）。

第一個是 Microsoft Defender XDR 連接器。配置選項允許傳送 Exchange、SharePoint 和 Teams 資料。根據組織的特定需求，可以決定擷取哪些資料。資料類型顯示所有資料都放在 OfficeActivity table中。

第二個是 Microsoft Entra ID，它有登入日誌和稽核日誌兩個選項。

第三是Microsoft Entra ID Protection。此連接器將資料傳送至 SecurityAlert table。 SecurityAlert table僅保存告警資料，不包含導致告警的基礎資料。第二個選項是Create Incidents，這是推薦的！此程序會根據從 Microsoft Entra ID Protection 擷取至 SecurityAlert table的告警自動建立事故並與之相關。也可以在「分析」頁面上啟動事故建立規則。

最後一個連接器是 Azure Activity。 Azure Activity Log是subscription-level events，可深入了解 Azure 中發生的訂閱等級事件。包括來自 Azure 資源管理器操作資料的事件、服務運作狀況事件、對訂閱中的資源執行的寫入操作以及在 Azure 中執行的活動的狀態。

連接到Microsoft Office 365 connector

Microsoft Defender XDR 連接器可深入了解 Microsoft Defender 產品套件，包括 Microsoft Defender for Office 365。執行操作的使用者的名稱。

若要檢視連接器頁面，執行下列步驟：

1. In the Microsoft Sentinel left navigation menu expand Configuration, and Select Data connectors.
2. Select Microsoft Defender XDR.
3. Then select the Open connector page on the preview pane.
4. Review the Description and Data types tabs to understand the data that is ingested.
5. In the Instructions tab, verify that you meet the Prerequisites.
6. In the Instructions tab, under the section labeled Configuration, select the Connect incidents and alerts button.
7. Wait until validation is complete and the button changes to Disconnect.

連接Microsoft Entra connector

透過將稽核和登入日誌連接到 Microsoft Sentinel 來收集有關 Microsoft Entra 場景的見解，從而深入了解 Microsoft Entra ID。可以使用登入日誌了解應用程式使用情況、條件存取策略和舊版身份驗證相關詳細資訊。也可以在稽核日誌表中取得有關自助服務密碼重設 (SSPR) 使用情況、Microsoft Entra 管理活動（例如使用者、群組、角色和應用程式管理）的資訊。

若要檢視連接器頁面，執行下列步驟：

1. Select Data connectors page in Microsoft Sentinel.
2. Select Microsoft Entra ID
3. Then select the Open connector page on the preview pane.
4. Mark the checkboxes next to the logs you want to stream into Microsoft Sentinel, and select Connect.

連接Microsoft Entra ID Protection connector

Microsoft Entra ID Protection 提供了高風險使用者、風險事件和漏洞的綜合視圖，能夠立即修復風險並設定政策來自動修復未來事件。

若要檢視連接器頁面，執行下列步驟：

1. Select Data connectors page.
2. Select Microsoft Entra ID Protection.
3. Then select the Open connector page on the preview pane.
4. Select Connect to start streaming the Microsoft Entra ID Protection alerts.
5. Select whether alerts from Microsoft Entra ID Protection automatically generate incidents by selecting Enable.

連接Azure Activity connector

Azure Activity Data connector使用 Azure Policy 套用到 Azure Subscription log-streaming pipeline，將事件資料傳送至 Log Analytics。

若要部署 Azure Activity connector，執行下列步驟：

1. In the Microsoft Sentinel left menu, scroll down to Content Management and select Content Hub.
2. In the Content Hub page, type Azure Activity into the Search form, and select the Azure Activity solution.
3. In the Azure Activity solution details pane, select Install.
4. In the center Content name column, select the Azure Activity Data connector.
5. Select Open connector page.
6. In the Instructions/Configuration area, scroll down and under 2. Connect your subscriptions… select Launch Azure Policy Assignment Wizard.
7. In the Basics tab, select the ellipsis button (…) under Scope and select your “Azure subscription” from the drop-down list and select Select.
8. Select the Parameters tab, choose your yourName-sentinel workspace from the Primary Log Analytics workspace drop-down list.
9. Select the Remediation tab and select the Create a remediation task checkbox. This action applies the subscription configuration to send the information to the Log Analytics workspace.
10. Select the Review + Create button to review the configuration.
11. Select Create to finish.