Übung: Abfragen und Visualisieren von Daten mit Microsoft Sentinel-Arbeitsmappen
Diese Übung zum Abfragen und Visualisieren von Daten ist eine optionale Einheit. Wenn Sie diese Übung durchführen möchten, benötigen Sie Zugriff auf ein Azure-Abonnement, in dem Sie Azure-Ressourcen erstellen können. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Hinweis
Wenn Sie sich entscheiden, die Übung in diesem Modul durchzuführen, bedenken Sie, dass in Ihrem Azure-Abonnement Kosten anfallen können. Informationen zum Schätzen der Kosten finden Sie unter Microsoft Sentinel – Preise.
Führen Sie die folgenden Aufgaben aus, um die Voraussetzungen für die Übung zu erfüllen.
Aufgabe 1: Erstellen von Ressourcen
Wählen Sie den folgenden Link aus:
Sie werden aufgefordert, sich bei Azure anzumelden.
Geben Sie auf der Seite Benutzerdefinierte Bereitstellung die folgenden Informationen an:
Name BESCHREIBUNG Subscription Wählen Sie Ihr Azure-Abonnement. Resource group Wählen Sie Neu erstellen aus, und geben Sie einen Namen für die Ressourcengruppe an, wie z. B.: azure-sentinel-rg. Region Wählen Sie im Dropdownmenü den Ort aus, an dem Sie Microsoft Sentinel bereitstellen möchten. Name des Arbeitsbereichs Geben Sie einen eindeutigen Namen für den Azure Sentinel-Arbeitsbereich an, z. B. <IhrName>-sentinel. Standort Übernehmen Sie den Standardwert [resourceGroup().location]. Simplevm-Name Übernehmen Sie den Standardwert simple-vm. Simplevm: Windows-Betriebssystemversion Übernehmen Sie den Standardwert 2016-Datacenter. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.
Hinweis
Warten Sie, bis die Bereitstellung abgeschlossen ist. Die Bereitstellung sollte nicht länger als fünf Minuten dauern.
Aufgabe 2: Überprüfen der erstellten Ressourcen
Suchen Sie im Azure-Portal nach Ressourcengruppen.
Wählen Sie azure-sentinel-rg aus.
Sortieren Sie die Liste der Ressourcen nach Typ.
Die Ressourcengruppe muss die in der folgenden Tabelle aufgeführten Ressourcen enthalten.
Name Typ BESCHREIBUNG <IhrName>-sentinel Log Analytics-Arbeitsbereich Log Analytics-Arbeitsbereich, der von Microsoft Sentinel verwendet wird, mit dem Arbeitsbereichsnamen, den Sie in der vorherigen Aufgabe ausgewählt haben. simple-vmNetworkInterface Netzwerkschnittstelle Netzwerkschnittstelle für den virtuellen Computer (VM). SecurityInsights(<IhrName>-sentinel) Lösung Sicherheitserkenntnisse für Microsoft Sentinel st1xxxxx Speicherkonto Speicherkonto, das von der VM verwendet wird. Die zufällige Zeichenfolge xxxxx erstellt einen eindeutigen Speicherkontonamen. simple-vm Virtueller Computer Der in der Demonstration verwendete virtuelle Computer. vnet1 Virtuelles Netzwerk Das virtuelle Netzwerk der VM.
Hinweis
Die Ressourcen und Konfigurationsschritte aus dieser Übung sind für die nächste Übung erforderlich. Wenn Sie die nächste Übung ausführen möchten, löschen Sie diese Ressourcen nicht.
Aufgabe 3: Konfigurieren von Microsoft Sentinel-Connectors
In dieser Aufgabe stellen Sie einen Microsoft Sentinel-Connector für die Azure-Aktivität bereit.
Suchen Sie im Azure-Portal nach Microsoft Sentinel, und wählen Sie den Eintrag aus. Wählen Sie den Microsoft Sentinel-Arbeitsbereich aus, den Sie in der vorherigen Aufgabe erstellt haben.
Wählen Sie auf der Seite Microsoft Sentinel auf der Menüleiste unter Konfiguration die Option Datenconnectors aus.
Suchen Sie im Bereich Datenconnectors nach Azure-Aktivität, und wählen Sie diese Option aus.
Wählen Sie im Bereich „Details“ die Option Connectorseite öffnen aus.
Überprüfen Sie auf dem Bildschirm Azure-Aktivität unter Anweisungen Ihre Voraussetzungen, und führen Sie dann die Konfigurationsschritte aus.
Sobald der Status Verbunden lautet, schließen Sie alle geöffneten Panels, um zu Microsoft Sentinel > Datenconnector zurückzukehren.
Hinweis
Das Bereitstellen des Connectors für die Azure-Aktivität kann 15 Minuten dauern. Sie können mit den restlichen Schritten in der Übung und mit den nachfolgenden Einheiten in diesem Modul fortfahren.