Ćwiczenie — wykonywanie zapytań i wizualizowanie danych za pomocą skoroszytów usługi Microsoft Sentinel

  • 10 min

To ćwiczenie dotyczące zapytań i wizualizowania danych jest opcjonalną jednostką. Jeśli chcesz wykonać to ćwiczenie, musisz mieć dostęp do subskrypcji platformy Azure, w której możesz tworzyć zasoby platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Uwaga

Jeśli zdecydujesz się na wykonanie ćwiczenia w tym module, pamiętaj, że możesz ponieść koszty w ramach subskrypcji platformy Azure. Aby oszacować koszt, zapoznaj się z cennikiem usługi Microsoft Sentinel.

Aby wdrożyć wymagania wstępne na potrzeby tego ćwiczenia, wykonaj poniższe zadania.

Zadanie 1. Tworzenie zasobów

  1. Wybierz poniższy link:

    Deploy To Azure.

    Zostanie wyświetlony monit o zalogowanie się na platformie Azure.

  2. Na stronie Wdrożenie niestandardowe podaj następujące informacje:

    Nazwa/nazwisko opis
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz pozycję Utwórz nową i podaj nazwę grupy zasobów, taką jak azure-sentinel-rg.
    Region (Region) Z menu rozwijanego wybierz lokalizację, w której chcesz wdrożyć usługę Microsoft Sentinel.
    Nazwa obszaru roboczego Podaj unikatową nazwę obszaru roboczego usługi Microsoft Sentinel, na przykład yourName-sentinel>.<
    Lokalizacja Zaakceptuj wartość domyślną [resourceGroup().location].
    Nazwa Simplevm Zaakceptuj wartość domyślną simple-vm.
    Wersja systemu operacyjnego Windows maszyny wirtualnej Simplevm Zaakceptuj wartość domyślną 2016-Datacenter.

  3. Wybierz opcję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

    Screenshot of the Custom Deployment page.

    Uwaga

    Zaczekaj na zakończenie wdrażania. Wdrożenie powinno trwać krócej niż 5 minut.

Zadanie 2. Sprawdzanie utworzonych zasobów

  1. W witrynie Azure Portal wyszukaj Grupy zasobów.

  2. Wybierz pozycję azure-sentinel-rg.

  3. Posortuj listę zasobów według pozycji Typ.

  4. Grupa zasobów powinna zawierać zasoby wymienione w poniższej tabeli.

    Nazwisko Pisz Opis
    <yourName-sentinel> Obszar roboczy usługi Log Analytics Obszar roboczy usługi Log Analytics używany przez usługę Microsoft Sentinel z nazwą obszaru roboczego wybraną w poprzednim zadaniu.
    simple-vmNetworkInterface Interfejs sieciowy Interfejs sieciowy maszyny wirtualnej.
    Zabezpieczenia Szczegółowe informacje(<yourName-sentinel>) Rozwiązanie Szczegółowe informacje o zabezpieczeniach usługi Microsoft Sentinel.
    st1xxxxx Konto magazynu Konto magazynu używane przez maszynę wirtualną. Losowy ciąg xxxxx tworzy unikatową nazwę konta magazynu.
    simple-vm Maszyna wirtualna Maszyna wirtualna używana na potrzeby pokazu.
    vnet1 Sieć wirtualna Sieć wirtualna dla maszyny wirtualnej.

Uwaga

Zasoby i konfiguracja w tym ćwiczeniu są wymagane w następnym ćwiczeniu. Jeśli zamierzasz wykonać następne ćwiczenie, nie usuwaj tych zasobów.

Zadanie 3. Konfigurowanie łączników usługi Microsoft Sentinel

W tym zadaniu wdrożysz łącznik usługi Microsoft Sentinel do działania platformy Azure.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel. Wybierz obszar roboczy usługi Microsoft Sentinel utworzony w poprzednim zadaniu.

  2. Na stronie Microsoft Sentinel na pasku menu w obszarze Konfiguracja wybierz pozycję Łączniki danych.

  3. W okienku Łączniki danych wyszukaj i wybierz pozycję Aktywność platformy Azure.

  4. W okienku szczegółów wybierz pozycję Otwórz stronę łącznika.

    Screenshot of the Microsoft Sentinel Data connectors page.

  5. Na ekranie Działania platformy Azure w obszarze Instrukcje sprawdź wymagania wstępne, a następnie wykonaj kroki konfiguracji.

  6. Po otrzymaniu stanu Połączenie zamknij wszystkie otwarte panele, aby powrócić do usługi Microsoft Sentinel | Panel łącznika danych.

Uwaga

Wdrożenie łącznika dla aktywności platformy Azure może potrwać 15 minut. Możesz przejść do kolejnych kroków w tym ćwiczeniu i do kolejnych lekcji w tym module.