Hướng Dẫn Triển Khai Microsoft Sentinel Từ A–Z – Cấu Hình SIEM Trên Azure
Ở phần trước, mình đã giới thiệu tổng quan về Microsoft Sentinel, các thành phần chính và cách Sentinel hoạt động trong một hệ thống SIEM.
Trong bài này, mình sẽ thực hiện khi triển khai Microsoft Sentinel trên Azure bao gồm tạo Resource Group → tạo Log Analytics Workspace → thêm Sentinel vào Workspace → cấu hình Data Connector → kích hoạt UEBA. Toàn bộ quá trình có thể hoàn thành trong vòng 2–3 giờ.
Chuẩn bị trước khi triển khai Microsoft Sentinel
Trước khi bắt tay vào cài đặt, bạn cần đảm bảo 3 thứ sau:
1. Quyền truy cập
Quyền được chia cho 2 nhóm hệ thống:
SIEM (Microsoft Sentinel):
| Role | Mục đích |
|---|---|
| Microsoft Sentinel Reader | Xem dữ liệu, không chỉnh sửa |
| Microsoft Sentinel Responder | Phản hồi incident |
| Microsoft Sentinel Contributor | Quản lý toàn bộ Sentinel |
| Microsoft Sentinel Playbook Operator | Chạy Playbook (automation) |
| Microsoft Sentinel Automation Contributor | Tạo automation rule |
Data Lake:
| Role | Mục đích |
|---|---|
| Security Operator | Truy cập và vận hành Data Lake |
Gán quyền theo cấp độ:
Cấp Subscription:
| Role | Khi nào cần |
|---|---|
| Contributor | Tạo và kích hoạt Microsoft Sentinel |
| User Access Administrator | Cần nếu chưa từng dùng Sentinel (để auto onboarding lên Defender Portal) |
Cấp Resource Group:
| Role | Khi nào cần |
|---|---|
| Microsoft Sentinel Contributor | Quản lý Sentinel trong resource group |
Cấp User:
| Role | Khi nào cần |
|---|---|
| Security Administrator | Đọc và xem log |
2. Cách gán quyền (IAM)
Bước 1 — Chọn phạm vi gán quyền:
- Đăng nhập vào Azure Portal
- Tìm và chọn Resource Groups
- Nhấp vào tên Resource Group chứa Microsoft Sentinel của bạn
Bước 2 — Truy cập giao diện IAM:
- Menu bên trái, chọn Access Control (IAM)
- Nhấn + Add → chọn Add role assignment
Bước 3 — Chọn role:
- Tab Role → gõ tìm kiếm tên role (ví dụ:
Microsoft Sentinel Contributor) - Chọn role → nhấn Next
Bước 4 — Chọn người nhận quyền:
- Tab Members → Select members
- Nhập Email hoặc tên User/Group cần gán
- Nhấn Select → Next
Bước 5 — Xác nhận:
- Kiểm tra lại: đúng người, đúng quyền, đúng phạm vi
- Nhấn Review + assign
- Hệ thống mất khoảng 1–2 phút để cập nhật
Tài liệu tham khảo:
Cách triển khai Microsoft Sentinel từng bước
Bước 1: Tạo Resource Group
Resource Group là "thư mục" chứa tất cả tài nguyên Azure liên quan đến Sentinel.
- Đăng nhập Azure Portal → tìm kiếm Resource Groups
![image.png]()
- Nhấn Create
- Điền tên, chọn Region (nên chọn cùng region với hệ thống hiện tại)
- Nhấn Review + Create → Create
Bước 2: Tạo Log Analytics Workspace
Log Analytics Workspace là nơi lưu trữ toàn bộ log mà Sentinel sẽ phân tích. Không có workspace này thì không có Sentinel.
- Azure Portal → tìm Microsoft Sentinel
-
Nhấn Create
![image.png]()
-
Chọn Create a new workspace
- Chọn Resource Group vừa tạo ở Bước 1
- Đặt tên workspace (ví dụ:
sentinel-workspace-prod) - Nhấn Review + Create → Create
⏱️ Quá trình tạo workspace mất khoảng 3–5 phút.
Bước 3: Thêm Microsoft Sentinel vào Workspace
- Azure Portal → Microsoft Sentinel → Create
- Chọn workspace vừa tạo
- Nhấn Add
- Sentinel sẽ được kích hoạt trên workspace đó
Sau bước này, bạn truy cập https://security.microsoft.com/ để vào Microsoft Defender Portal — nơi quản lý Sentinel từ nay về sau.
Bước 4: Kết nối Workspace với Defender Portal
- Trong Defender Portal: System → Settings → Microsoft Sentinel → SIEM workspaces
- Chọn Connect workspace
- Chọn workspace bạn vừa tạo → Connect
Bước 5: Cài giải pháp từ Content Hub
Content Hub là "kho ứng dụng" của Sentinel — chứa các giải pháp tích hợp sẵn cho nhiều nguồn log.
- Vào Content Hub trong Sentinel
- Tìm và cài đặt các solution sau:
✅ Azure Activity
✅ AAD Managed Identity SignIn Logs
✅ AAD Service Principal SignIn Logs
✅ Microsoft EntraID
Mỗi solution cài theo flow: Find → Select → Install → chờ vài phút.
Bước 6: Cấu hình Data Connector
Data Connector là "đường ống" kết nối nguồn log vào Sentinel. Ở đây mình cấu hình cho Azure Activity.
- Microsoft Sentinel → Configuration → Data connectors
- Tìm và chọn Azure Activity
- Nhấn Open connector page
- Nhấn Launch Azure Policy Assignment Wizard
Trong Wizard:
- Tab Basics: đặt Scope là subscription/resource group chứa Sentinel
- Tab Parameters: chọn Log Analytics Workspace đang dùng
- Nhấn Review + Create → Create
⏱️ Sau khi cấu hình, cần đợi 1–2 tiếng để log chảy về. Status sẽ chuyển từ
Not connected→Connectedkhi có dữ liệu.
Bước 7: Xác nhận dữ liệu đã vào Sentinel
- Configuration → Data connectors → chọn Azure Activity
- Nhấn Open connector page
- Kiểm tra phần Status:
Connected✅ = log đang chảy vềLast Log Receivedcó timestamp = dữ liệu đã được ingested
Kích hoạt UEBA (User and Entity Behavior Analytics)
UEBA là tính năng phân tích hành vi người dùng và thiết bị bằng AI — giúp phát hiện các hành vi bất thường mà rule thông thường bỏ sót.
Cách bật UEBA:
- Defender Portal → Settings → Microsoft Sentinel → SIEM workspaces
-
Chọn workspace → Entity behavior analytics → Configure UEBA
-
Toggle Turn on UEBA feature → ON
![image.png]()
-
Chọn Microsoft EntraID
- Enable các data source sau:
- Signin Logs
- Audit Logs
- Azure Activity
- Security Events
Bật UEBA từ Data Connector:
- Microsoft Sentinel → Configuration → Data connectors
- Mở connector → Open connector page → Advanced options
- Configure UEBA → toggle ON các bảng muốn enable
![image.png]()
Thu thập log từ máy chủ
Cài AMA Agent trên Windows
Azure Monitor Agent (AMA) là agent thu thập log từ máy Windows và gửi về Sentinel.
Bước 1 — Cài Data Connector trên Sentinel:
- Data connectors → tìm Windows Security Events via AMA
- Cài đặt connector này
Bước 2 — Kiểm tra agent trên máy Windows:
# Extension cần có
Extension: AzureMonitorWindowsAgent ✅
Process: AMAExtHealthMonitor.exe
# Đường dẫn log agent
C:\WindowsAzure\Logs\
C:\ProgramData\
Nếu thấy extension AzureMonitorWindowsAgent trong danh sách extension của VM là agent đã được cài thành công.
Cài AMA Agent trên Linux
Bước 1 — Cài Data Connector Syslog trên Sentinel:
- Data connectors → tìm Syslog → cài đặt
Bước 2 — Chạy lệnh cài agent trên máy Linux:
sudo wget -O Forwarder_AMA_installer.py \
https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py \
&& sudo python3 Forwarder_AMA_installer.py
⚠️ Lưu ý: Dùng
python3, không phảipython. Nhiều distro Linux mới không còn có lệnhpythonmặc định. Nếu chạypythonthấy lỗicommand not found, thay bằngpython3.
Kết quả mong đợi sau khi chạy xong:
✅ Forwarder_AMA_installer.py downloaded
✅ Installation completed successfully
Xử lý lỗi thường gặp khi triển khai Microsoft Sentinel
Lỗi 1: Không hiện trang quản trị trên Defender Portal
Nguyên nhân thường gặp và cách fix:
- Kiểm tra quyền User Access Administrator — thiếu quyền này thì không auto onboarding được
- Vào Settings → Microsoft Defender XDR → Preview features → bật lên
- Đảm bảo đã Setup DataLake trước khi vào Defender Portal
Lỗi 2: Add workspace không thấy workspace
Nguyên nhân: không đủ quyền trên workspace đó. Kiểm tra lại IAM, đảm bảo tài khoản có ít nhất Microsoft Sentinel Contributor trên Resource Group chứa workspace.
Lỗi 3: Không kết nối được Azure Activity
Đây là lỗi phổ biến nhất. Nguyên nhân: chưa cấu hình Diagnostic Settings để đẩy log về workspace.
Cách fix từng bước:
- Azure Portal → Subscriptions → chọn subscription đang dùng
- Chọn Activity Log → Diagnostic settings → + Add diagnostic setting
- Cấu hình:
- Send to Log Analytics workspace ✅
- Chọn đúng workspace Sentinel đang dùng
- Tick các category log sau:
✅ Administrative
✅ Security
✅ Policy
✅ ServiceHealth
✅ Alert
✅ Recommendation
- Nhấn Save → đợi 1–2 tiếng
Khi log về đủ:
- Status →
Connected - Last Log Received → có timestamp cụ thể
FAQ – Câu hỏi thường gặp về Microsoft Sentinel
Microsoft Sentinel khác gì với Microsoft Defender?
Microsoft Sentinel là SIEM — tập trung vào thu thập và phân tích log từ nhiều nguồn. Microsoft Defender là EDR/XDR — tập trung bảo vệ endpoint và ứng dụng. Hai sản phẩm tích hợp với nhau, nhưng chức năng khác nhau. Dùng Sentinel để có cái nhìn toàn cảnh về bảo mật toàn hệ thống.
Cần bao nhiêu chi phí để triển khai Microsoft Sentinel?
Sentinel tính phí theo lượng log ingested (GB/ngày). Microsoft có tier miễn phí 10 GB/ngày trong 31 ngày đầu. Sau đó tính theo giá Commitment Tier hoặc Pay-as-you-go. Chi phí thực tế phụ thuộc vào số lượng máy chủ và loại log bật.
Triển khai Microsoft Sentinel mất bao lâu?
Với môi trường mới hoàn toàn, bạn cần khoảng 2–3 giờ để setup xong cơ bản. Tuy nhiên cần thêm 1–2 tiếng để log bắt đầu chảy về sau khi cấu hình Data Connector. Toàn bộ hệ thống ổn định thường sau 24 giờ đầu tiên.
UEBA trong Microsoft Sentinel hoạt động như thế nào?
UEBA (User and Entity Behavior Analytics) dùng machine learning để xây dựng baseline hành vi cho từng user và thiết bị. Khi có hoạt động bất thường (đăng nhập giờ lạ, download dữ liệu lớn bất thường…), Sentinel tự động tạo alert và gắn risk score. Cần bật ít nhất Signin Logs và Audit Logs từ EntraID để UEBA hoạt động hiệu quả.
Lỗi "python: command not found" khi cài agent Linux phải làm gì?
Thay python bằng python3 trong lệnh cài đặt. Các distro Linux hiện đại (Ubuntu 22.04+, Debian 11+) không còn symlink python → python3 theo mặc định. Lệnh đúng là: sudo python3 Forwarder_AMA_installer.py.
Tổng kết
Triển khai Microsoft Sentinel không quá phức tạp nếu bạn làm đúng thứ tự. Tóm lại quy trình gồm:
- Cấp quyền IAM đúng cấp độ
- Tạo Resource Group và Log Analytics Workspace
- Thêm Sentinel vào Workspace
- Kết nối Defender Portal
- Cài Content Hub solutions
- Cấu hình Data Connector (Azure Activity)
- Kích hoạt UEBA
- Cài AMA agent trên Windows/Linux
- Kiểm tra và xử lý lỗi
All rights reserved
