Incorporación de servidores habilitados para Azure Arc a Microsoft Sentinel

Este artículo le ayuda a incorporar las máquinas habilitadas para Azure Arc a Microsoft Sentinel para empezar a recopilar eventos relacionados con la seguridad. Microsoft Sentinel proporciona una única solución para la detección de alertas, la visibilidad de amenazas y la búsqueda proactiva y la respuesta contra amenazas en toda la empresa.

Requisitos previos

Antes de empezar, asegúrese de cumplir los siguientes requisitos:

• Un área de trabajo de Log Analytics. Para obtener más información sobre las áreas de trabajo de Log Analytics, consulte Diseño de su implementación de Azure Monitor Logs

• Microsoft Sentinel está habilitado en la suscripción

• La máquina está conectada a servidores habilitados para Azure Arc

Incorporación de servidores habilitados para Azure Arc a Microsoft Sentinel

Microsoft Sentinel incluye varios conectores para soluciones de Microsoft, que están disponibles inmediatamente y proporcionan integración en tiempo real. Tanto en las máquinas físicas como en las virtuales, puede instalar el agente de Log Analytics que recopila los registros y los reenvía a Microsoft Sentinel. Los servidores habilitados para Azure Arc admiten la implementación del agente de Log Analytics mediante los métodos siguientes:

• Uso del marco de extensiones de VM.

  Esta característica de los servidores habilitados para Azure Arc le permite implementar la extensión de máquina virtual del agente de Log Analytics en un servidor Windows o Linux que no sea de Azure. Las extensiones de máquina virtual se pueden administrar con los siguientes métodos en las máquinas híbridas o en servidores administrados por otros habilitados para Azure Arc:

  • Azure Portal
  • La CLI de Azure
  • Azure PowerShell
  • Plantillas de Azure Resource Manager

• Uso de Azure Policy.

  Con este enfoque, puede usar la directiva integrada Implementación del agente de Log Analytics en máquinas de Azure Arc de Linux o de Windows de Azure Policy para auditar si el servidor habilitado para Azure Arc tiene instalado el agente de Log Analytics. Si el agente no está instalado, lo implementa automáticamente mediante una tarea de corrección. Como alternativa, si planea supervisar las máquinas con Azure Monitor para VM, puede usar en su lugar la iniciativa Habilitar Azure Monitor para VM para instalar y configurar el agente de Log Analytics.

Se recomienda instalar el agente de Log Analytics para Windows o Linux con Azure Policy.

Una vez conectados los servidores habilitados para Arc, los datos comienzan a transmitirse a Microsoft Sentinel y podrá comenzar a trabajar con ellos. Puede ver los registros en los libros integrados y comenzar a crear consultas en Log Analytics para investigar los datos.

Pasos siguientes

Empiece a detectar amenazas con Microsoft Sentinel.