Dołączanie serwerów z obsługą usługi Azure Arc do usługi Microsoft Sentinel
Ten artykuł ułatwia dołączanie maszyn z obsługą usługi Azure Arc do usługi Microsoft Sentinel w celu rozpoczęcia zbierania zdarzeń związanych z zabezpieczeniami. Usługa Microsoft Sentinel udostępnia jedno rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia w całym przedsiębiorstwie.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że spełniasz następujące wymagania:
Obszar roboczy usługi Log Analytics. Aby uzyskać więcej informacji na temat obszarów roboczych usługi Log Analytics, zobacz Projektowanie wdrożenia dzienników usługi Azure Monitor
Usługa Microsoft Sentinel włączona w ramach subskrypcji
Maszyna jest połączona z serwerami z obsługą usługi Azure Arc
Dołączanie serwerów z obsługą usługi Azure Arc do usługi Microsoft Sentinel
Usługa Microsoft Sentinel oferuje wiele łączników dla rozwiązań firmy Microsoft, dostępnych poza urządzeniem i zapewnia integrację w czasie rzeczywistym. W przypadku maszyn fizycznych i wirtualnych można zainstalować agenta usługi Log Analytics, który zbiera dzienniki i przekazuje je do usługi Microsoft Sentinel. Serwery z obsługą usługi Azure Arc obsługują wdrażanie agenta usługi Log Analytics przy użyciu następujących metod:
Korzystanie z platformy rozszerzeń maszyn wirtualnych.
Ta funkcja na serwerach z obsługą usługi Azure Arc umożliwia wdrożenie rozszerzenia maszyny wirtualnej agenta usługi Log Analytics na serwerze z systemem Windows i/lub Linux spoza platformy Azure. Rozszerzenia maszyn wirtualnych można zarządzać przy użyciu następujących metod na maszynach hybrydowych lub serwerach zarządzanych przez serwery z obsługą usługi Azure Arc:
- Azure Portal
- Interfejs wiersza polecenia platformy Azure
- Azure PowerShell
- Szablony usługi Azure Resource Manager
Korzystanie z usługi Azure Policy.
Korzystając z tego podejścia, należy użyć agenta usługi Log Analytics w usłudze Azure Policy Deploy Log Analytics do systemu Linux lub wbudowanych zasad usługi Azure Arc w celu przeprowadzenia inspekcji, czy serwer z obsługą usługi Azure Arc ma zainstalowanego agenta usługi Log Analytics. Jeśli agent nie jest zainstalowany, automatycznie wdraża go przy użyciu zadania korygowania. Alternatywnie, jeśli planujesz monitorować maszyny przy użyciu Azure Monitor dla maszyn wirtualnych, zamiast tego użyj inicjatywy Włącz Azure Monitor dla maszyn wirtualnych, aby zainstalować i skonfigurować agenta usługi Log Analytics.
Zalecamy zainstalowanie agenta usługi Log Analytics dla systemu Windows lub Linux przy użyciu usługi Azure Policy.
Po nawiązaniu połączenia z serwerami z obsługą usługi Arc dane zaczynają przesyłać strumieniowo do usługi Microsoft Sentinel i są gotowe do rozpoczęcia pracy. Dzienniki można wyświetlić we wbudowanych skoroszytach i rozpocząć tworzenie zapytań w usłudze Log Analytics, aby zbadać dane.
Następne kroki
Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.