Úvod
Zařízení s Windows připojíte k pracovnímu prostoru Microsoft Sentinel pomocí poskytnutých datových konektorů. Konektor nabízí možnosti řízení, které události se mají shromažďovat.
Pracujete ve společnosti, která implementovala Microsoft Sentinel. Je nutné shromažďovat data protokolu událostí z hostitelů Windows. Hostitelé se můžou nacházet místně nebo jako virtuální počítač v Azure.
Váš tým operací zabezpečení spoléhá na data událostí vytvořená nástrojem Sysmon nainstalovaným na některých hostitelích Windows. Hostitele Windows nakonfigurujete tak, aby odesílaly data událostí do Služby Microsoft Sentinel. Musíte také zajistit, aby byly události Sysmon k dispozici pro použití v pravidlech detekce.
Na konci tohoto modulu budete moct připojit zařízení s Windows k pracovnímu prostoru Microsoft Sentinel pomocí poskytnutého datového konektoru.
Po dokončení tohoto modulu budete umět:
- Připojení virtuálních počítačů Azure s Windows do Služby Microsoft Sentinel
- Připojení hostitelů mimo Azure pro Windows do Microsoft Sentinelu
- Konfigurace agenta Log Analytics pro shromažďování událostí Sysmon
Požadavky
Základní znalost provozních konceptů, jako je monitorování, protokolování a upozorňování.