Incorporación de servidores habilitados para Azure Arc a Microsoft Sentinel

  • 4 minutos

Tailwind Traders ha incorporado sus máquinas a servidores habilitados para Azure Arc y ahora quiere incorporar esos servidores a Microsoft Sentinel. En esta unidad, aprenderá a incorporar los servidores habilitados para Azure Arc a Microsoft Sentinel. En primer lugar, conectará el servidor habilitado para Azure Arc a un área de trabajo de Log Analytics. Después, habilitará Microsoft Sentinel en esta área de trabajo.

Conexión del servidor habilitado para Azure Arc a un área de trabajo de Log Analytics mediante el agente de Log Analytics o el agente de Azure Monitor

Tanto en las máquinas físicas como en las virtuales, puede instalar el agente de Log Analytics, que recopila los registros y los reenvía a Microsoft Sentinel. Los servidores habilitados para Azure Arc admiten la implementación del agente de Log Analytics con los métodos siguientes:

  • Con el marco de extensiones de máquina virtual, puede implementar la extensión de máquina virtual del agente de Log Analytics en un servidor Linux o Windows que no sea de Azure. Puede administrar las extensiones de máquina virtual a través de Azure Portal, la CLI de Azure, Azure PowerShell y plantillas de Azure Resource Manager.
  • Con Azure Policy, puede implementar el agente de Log Analytics en máquinas Windows o Linux de Azure Arc para comprobar si el servidor habilitado para Azure Arc tiene instalado el agente de Log Analytics. Si el agente no está instalado, lo implementa automáticamente mediante una tarea de corrección. También puede usar la iniciativa de Azure Policy integrada a fin de habilitar Azure Monitor para VM e instalar y configurar el agente de Log Analytics.

Habilitación de Microsoft Sentinel en el área de trabajo de Log Analytics

  1. En el explorador, vaya a Azure Portal.

  2. Busque y seleccione Sentinel.

    Screenshot of Microsoft Sentinel selection in the Azure portal.

  3. Seleccione Agregar.

  4. Seleccione el área de trabajo a la que está conectado el servidor habilitado para Azure Arc. Puede ejecutar Microsoft Sentinel en más de un área de trabajo, pero los datos se aíslan en un área de trabajo única.  

    Screenshot of adding Microsoft Sentinel solution to the Log Analytics workspace.

  5. Seleccione Add Microsoft Sentinel (Agregar Microsoft Sentinel).

Una vez conectados los servidores habilitados para Arc, los datos comienzan a transmitirse a Microsoft Sentinel y podrá comenzar a trabajar con ellos. Puede ver los registros en los libros integrados y comenzar a crear consultas en Log Analytics para investigar los datos.