Esercizio - Rilevare le minacce con Microsoft Sentinel Analytics

  • 20 minuti

L'esercizio di rilevamento delle minacce con Microsoft Sentinel Analytics in questo modulo è un'unità facoltativa. Per completarlo, è necessario accedere a una sottoscrizione di Azure in cui sia possibile creare risorse di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Per distribuire i prerequisiti per l'esercizio, eseguire le attività seguenti.

Nota

Se si esegue l'esercizio di questo modulo, è possibile che venga addebitato un costo aggiuntivo nella sottoscrizione di Azure. Per stimare il costo, vedere Prezzi di Microsoft Sentinel.

Attività 1: Distribuire Azure Sentinel usando il modello di ARM

  1. Selezionare il collegamento seguente:

    Distribuisci in Azure.

    Viene richiesto di accedere ad Azure. Viene visualizzato il riquadro Distribuzione personalizzata.

  2. Nella scheda Informazioni di base immettere i valori indicati di seguito per ogni impostazione.

    Impostazione Valore
    Dettagli di progetto
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare Crea nuovo e specificare il nome del gruppo di risorse, ad esempio azure-sentinel-rg.
    Dettagli istanza
    Paese Dall'elenco a discesa selezionare la località in cui si vuole distribuire Microsoft Sentinel.
    Nome dell'area di lavoro Specificare un nome univoco per l'area di lavoro di Microsoft Sentinel, ad esempio <yourName>-sentinel, dove <yourName> rappresenta il nome dell'area di lavoro scelto nell'attività precedente.
    Ufficio Accettare il valore predefinito [resourceGroup().Location].
    Nome Simplevm Accettare il valore predefinito simple-vm.
    Versione del sistema operativo Windows Simplevm Accettare il valore predefinito 2016-Datacenter.

  3. Selezionare Rivedi e crea. Al termine della convalida, selezionare Crea.

    Screenshot della pagina Distribuzione personalizzata.

    Nota

    Attendere il completamento della distribuzione. La distribuzione dovrebbe richiedere meno di cinque minuti.

Attività 2: Controllare le risorse create

  1. Nel portale di Azure cercare Gruppi di risorse.

  2. Selezionare azure-sentinel-rg.

  3. Ordinare l'elenco di risorse in base a Tipo.

    Il gruppo di risorse dovrebbe contenere le risorse elencate nella tabella riportata di seguito.

    Nome Tipo Descrizione
    <yourName>-sentinel area di lavoro Log Analytics Area di lavoro Log Analytics usata da Microsoft Sentinel dove <yourName> rappresenta il nome dell'area di lavoro scelto nell'attività precedente.
    simple-vmNetworkInterface Interfaccia di rete Interfaccia di rete per la macchina virtuale.
    SecurityInsights(<yourName>-sentinel) Soluzione Informazioni dettagliate sulla sicurezza per Microsoft Sentinel.
    simple-vm Macchina virtuale Macchina virtuale usata nella dimostrazione.
    st1<xxxxx> Account di archiviazione Account di archiviazione usato dalla macchina virtuale dove <xxxxx> rappresenta una stringa casuale generata per creare un nome di account di archiviazione univoco.
    vnet1 Rete virtuale Rete virtuale per la macchina virtuale.

Nota

Le risorse distribuite e i passaggi di configurazione completati in questo esercizio serviranno per l'esercizio successivo. Se si intende eseguire l'esercizio successivo non eliminare le risorse di questo esercizio.

Attività 3: Configurare i connettori dati di Microsoft Sentinel

In questa attività verrà distribuito un connettore dati di Microsoft Sentinel per rilevare Attività di Azure.

  1. Nel portale di Azure selezionare Home e quindi cercare e selezionare Microsoft Sentinel.

  2. Nell'elenco dei nomi delle aree di lavoro di Sentinel selezionare l'area di lavoro di Microsoft Sentinel creata nell'attività 2. Verrà visualizzato il riquadro Panoramica per l'area di lavoro di Sentinel.

  3. Nel riquadro dei menu, in Gestione dei contenuti, selezionare Hub dei contenuti. Viene visualizzato il riquadro Hub dei contenuti.

  4. Nella casella Cerca, cercare e selezionare la soluzione Attività di Azure. Nel riquadro dei dettagli di Attività di Azure, selezionare Installa.

  5. Attendere il completamento dell'installazione e selezionare Gestisci.

  6. Nella casella Cerca, cercare e selezionare il connettore dati Attività di Azure.

  7. Nel riquadro dei dettagli di Attività di Azure, selezionare Apri pagina connettore.

  8. Nella scheda Istruzioni, nell'area Configurazione, scorrere verso il basso e sotto "2. Connettere le sottoscrizioni..." Selezionare Avvia procedura guidata dell'assegnazione di Criteri di Azure>.

  9. Nella scheda Informazioni di base seleziona il pulsante con i puntini di sospensione (...) in Ambito e quindi la sottoscrizione di Azure nell'elenco a discesa, poi scegli Seleziona.

  10. Selezionare la scheda Parametri e scegliere l'area di lavoro yourName-sentinel dall'elenco a discesa dell'area di lavoro principale di Log Analytics.

  11. Selezionare la scheda Correzione, quindi la casella di controllo Crea un'attività di correzione. Questa azione applica la configurazione della sottoscrizione per inviare le informazioni all'area di lavoro Log Analytics.

    Nota

    Per applicare i criteri alle risorse esistenti, è necessario creare un'attività di correzione.

  12. Selezionare il pulsante Rivedi e crea per rivedere la configurazione.

  13. Selezionare Crea per completare.

  14. Al termine della distribuzione, verrà visualizzato lo stato Connesso (barra verde) per il connettore attività di Azure nel riquadro Connettori di configurazione/dati.

Screenshot del connettore di Microsoft Sentinel.

Nota

Il connettore per Attività di Azure può richiedere 15 minuti per risultare Connesso in Microsoft Sentinel. È possibile procedere con i passaggi successivi e con le altre unità di questo modulo.