Onboarding von Servern mit Azure Arc-Unterstützung bei Microsoft Sentinel

  • 4 Minuten

Tailwind Traders hat seine Computer in Server mit Azure Arc-Unterstützung integriert und möchte diese Server nun in Microsoft Sentinel integrieren. In dieser Lerneinheit erfahren Sie, wie Sie Ihre Azure Arc-fähigen Server in Microsoft Sentinel eingliedern. Zunächst verbinden Sie den Azure Arc-fähigen Server mit einem Log Analytics-Arbeitsbereich. Anschließend aktivieren Sie Microsoft Sentinel in diesem Arbeitsbereich.

Verbinden Sie den Azure Arc-fähigen Server mithilfe des Log Analytics- oder Azure Monitor-Agent mit einem Log Analytics-Arbeitsbereich.

Für physische und virtuelle Computer können Sie den Log Analytics-Agent installieren, mit dem die Protokolle gesammelt und an Microsoft Sentinel weitergeleitet werden. Azure Arc-aktivierte Server unterstützen die Bereitstellung des Log Analytics-Agenten mit den folgenden Methoden:

  • Mithilfe des VM-Erweiterungsframework können Sie die VM-Erweiterung für den Log Analytics-Agent auf einem Azure-externen Windows- und/oder Linux-Server bereitstellen. Sie können VM-Erweiterungen über das Azure-Portal, die Azure CLI, Azure PowerShell und Azure Resource Manager-Vorlagen verwalten.
  • Mit Azure Policy können Sie den Log Analytics-Agent auf Azure Arc-Computern unter Windows oder Linux bereitstellen, um zu überwachen, ob auf dem Server mit Azure Arc-Unterstützung der Log Analytics-Agent installiert ist. Wenn der Agent nicht installiert ist, wird er automatisch über einen Wartungstask bereitgestellt. Sie können auch die integrierte Azure-Richtlinie für die Initiative „Azure Monitor für VMs aktivieren“ verwenden, um den Log Analytics-Agent zu installieren und zu konfigurieren.

Aktivieren von Microsoft Sentinel im Log Analytics-Arbeitsbereich

  1. Navigieren Sie in Ihrem Browser zum Azure-Portal.

  2. Suchen Sie nach Microsoft Sentinel, und wählen Sie diese Lösung aus.

    Screenshot of Microsoft Sentinel selection in the Azure portal.

  3. Wählen Sie Hinzufügen.

  4. Wählen Sie den Arbeitsbereich aus, mit dem der Server mit Azure Arc-Unterstützung verbunden ist. Sie können Microsoft Sentinel in mehr als einem Arbeitsbereich ausführen. Die Daten sind aber für einen einzelnen Arbeitsbereich isoliert.  

    Screenshot of adding Microsoft Sentinel solution to the Log Analytics workspace.

  5. Wählen Sie Add Microsoft Sentinel (Microsoft Sentinel hinzufügen) aus.

Sobald Ihre Server mit Arc-Unterstützung verbunden sind, beginnt das Streaming Ihrer Daten zu Microsoft Sentinel. Sie können dann mit der Arbeit mit Ihren Daten loslegen. Sie können die Protokolle in den integrierten Arbeitsmappen anzeigen und mit der Erstellung von Abfragen in Log Analytics beginnen, um die Daten zu untersuchen.