Azure Arc 지원 서버를 Microsoft Sentinel에 온보딩
이 문서는 Azure Arc 지원 컴퓨터를 Microsoft Sentinel에 온보딩하여 보안 관련 이벤트 수집을 시작하는 데 도움이 됩니다. Microsoft Sentinel은 기업 전체에서 경고 검색, 위협 표시, 사전 예방식 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.
필수 조건
시작하기 전에 다음 요구 사항을 충족하는지 확인합니다.
Log Analytics 작업 영역 Log Analytics 작업 영역에 대한 자세한 내용은 Azure Monitor 로그 배포 디자인을 참조 하세요.
컴퓨터가 Azure Arc 지원 서버에 연결됨
Azure Arc 지원 서버를 Microsoft Sentinel에 온보딩
Microsoft Sentinel은 기본 제공되고 실시간 통합을 제공하는 Microsoft 솔루션을 위한 많은 커넥터와 함께 제공됩니다. 실제 및 가상 머신의 경우 로그를 수집하고 Microsoft Sentinel에 전달하는 Log Analytics 에이전트를 설치할 수 있습니다. Azure Arc 지원 서버는 다음 방법을 사용하여 Log Analytics 에이전트 배포를 지원합니다.
VM 확장 프레임워크 사용.
Azure Arc 지원 서버의 이 기능을 사용하면 Log Analytics 에이전트 VM 확장을 비 Azure Windows 및/또는 Linux 서버에 배포할 수 있습니다. VM 확장은 하이브리드 머신 또는 Azure Arc 지원 서버에 의해 관리되는 서버에서 다음 방법을 사용하여 관리할 수 있습니다.
Azure Policy 사용.
이 방법을 사용하면 Azure Arc 지원 서버에 Log Analytics 에이전트가 설치되어 있는지 감사하기 위해 Azure Policy Deploy Log Analytics 에이전트를 Linux 또는 Azure Arc 머신 에 기본 제공 정책을 사용합니다. 에이전트가 설치되지 않은 경우 수정 작업을 사용하여 자동으로 배포합니다. 또는 VM용 Azure Monitor를 사용하는 머신을 모니터링하려는 경우에는 VM용 Azure Monitor 사용을 대신 사용하여 Log Analytics 에이전트를 설치하고 구성합니다.
Azure Policy를 사용하여 Windows 또는 Linux용 Log Analytics 에이전트를 설치하는 것이 좋습니다.
Arc 지원 서버가 연결된 후 데이터가 Microsoft Sentinel로 스트림되기 시작하고 작업을 시작할 수 있습니다. 기본 제공 통합 문서에서 로그를 확인하고 Log Analytics에서 쿼리를 작성하여 데이터를 조사할 수 있습니다.
다음 단계
Microsoft Sentinel을 사용하여 위협 탐지에서 시작합니다.