Oefening: gegevens opvragen en visualiseren met Microsoft Sentinel-werkmappen

  • 10 minuten

Deze query en visualiseer gegevensoefening is een optionele eenheid. Als u deze oefening wilt uitvoeren, hebt u toegang nodig tot een Azure-abonnement waar u Azure-resources kunt maken. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Notitie

Als u ervoor kiest om de oefening in deze module uit te voeren, moet u er rekening mee houden dat er kosten in rekening kunnen worden gebracht bij uw Azure-abonnement. Als u een schatting wilt maken van de kosten, raadpleegt u de prijzen van Microsoft Sentinel.

Voer de volgende taken uit om de vereisten voor de oefening te implementeren.

Taak 1: Resources maken

  1. Selecteer de volgende koppeling:

    Deploy To Azure.

    U wordt gevraagd om u aan te melden bij Azure.

  2. Geef op de pagina Aangepaste implementatie de volgende informatie op:

    Name Beschrijving
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Nieuwe maken en geef een naam op voor de resourcegroep, zoals azure-sentinel-rg.
    Regio Selecteer in de vervolgkeuzelijst de locatie waar u Microsoft Sentinel wilt implementeren.
    Naam van de werkruimte Geef een unieke naam op voor de Microsoft Sentinel-werkruimte, zoals yourName-sentinel>.<
    Locatie Accepteer de standaardwaarde [resourceGroup().location].
    Simplevm Name Accepteer de standaardwaarde simple-vm.
    Simplevm Windows OS Version Accepteer de standaardwaarde 2016-Datacenter.

  3. Selecteer Controleren en maken en selecteer vervolgens Maken.

    Screenshot of the Custom Deployment page.

    Notitie

    Wacht totdat de installatie is voltooid. De implementatie duurt doorgaans minder dan vijf minuten.

Taak 2: De gemaakte resources controleren

  1. Zoek in Azure Portal naar Resourcegroepen.

  2. Selecteer azure-sentinel-rg.

  3. Sorteer de lijst met resources met behulp van Type.

  4. Als het goed is, bevat de resourcegroep de resources in de volgende tabel.

    Name Type Description
    <yourName-sentinel> Log Analytics-werkruimte Log Analytics-werkruimte die wordt gebruikt door Microsoft Sentinel, met de naam van de werkruimte die u in de vorige taak hebt gekozen.
    simple-vmNetworkInterface Netwerkinterface Netwerkinterface voor de virtuele machine (VM).
    SecurityInsights (<yourName-sentinel>) Oplossing Beveiligingsinzichten voor Microsoft Sentinel.
    st1xxxxx Opslagaccount Opslagaccount dat wordt gebruikt door de virtuele machine. Met de willekeurige tekenreeks xxxxx wordt een unieke opslagaccountnaam gemaakt.
    simple-vm Virtuele machine De virtuele machine die wordt gebruikt in de demo.
    vnet1 Virtueel netwerk Het virtuele netwerk voor de virtuele machine.

Notitie

De resources en configuratie in deze oefening zijn vereist in de volgende oefening. Als u de volgende oefening wilt voltooien, verwijdert u deze resources niet.

Taak 3: Microsoft Sentinel-connectors configureren

In deze taak implementeert u een Microsoft Sentinel-connector in Azure-activiteit.

  1. Zoek en selecteer Microsoft Sentinel in Azure Portal. Selecteer de Microsoft Sentinel-werkruimte die u in de vorige taak hebt gemaakt.

  2. Selecteer gegevensconnectors op de pagina Microsoft Sentinel op de menubalk onder Configuratie.

  3. Zoek in het deelvenster Gegevensconnectors naar Azure-activiteit en selecteer deze optie.

  4. Selecteer in het detailvenster Connectorpagina openen.

    Screenshot of the Microsoft Sentinel Data connectors page.

  5. Controleer in het scherm Azure-activiteit onder Instructies uw vereisten en volg vervolgens de configuratiestappen .

  6. Wanneer u een status van Verbinding maken ontvangen, sluit u alle geopende panelen om terug te keren naar Microsoft Sentinel | Paneel Gegevensconnector.

Notitie

Het kan 15 minuten duren voordat de connector voor Azure-activiteit is geïmplementeerd. U kunt verder gaan met de rest van de stappen in deze oefening en met de volgende lessen in deze module.