Dołączanie serwerów z obsługą usługi Azure Arc do usługi Microsoft Sentinel

  • 4 min

Firma Tailwind Traders dołączyła swoje maszyny do serwerów z obsługą usługi Azure Arc, a teraz chce dołączyć te serwery do usługi Microsoft Sentinel. W tej lekcji dowiesz się, jak dołączyć serwery z obsługą usługi Azure Arc do usługi Microsoft Sentinel. Najpierw połączysz serwer z włączoną usługą Azure Arc z obszarem roboczym usługi Log Analytics. Po drugie włączysz usługę Microsoft Sentinel w tym obszarze roboczym.

Połączenie serwera z włączoną usługą Azure Arc do obszaru roboczego usługi Log Analytics przy użyciu agenta usługi Log Analytics lub agenta usługi Azure Monitor

W przypadku maszyn fizycznych i wirtualnych można zainstalować agenta usługi Log Analytics, który zbiera dzienniki i przekazuje je do usługi Microsoft Sentinel. Serwery z obsługą usługi Azure Arc obsługują wdrażanie agenta usługi Log Analytics przy użyciu następujących metod:

  • Korzystając z platformy rozszerzeń maszyn wirtualnych, można wdrożyć rozszerzenie maszyny wirtualnej agenta usługi Log Analytics na serwerze z systemem Innym niż Azure z systemem Windows i/lub Linux. Rozszerzenia maszyn wirtualnych można zarządzać przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell i szablonów usługi Azure Resource Manager.
  • Za pomocą usługi Azure Policy można wdrożyć agenta usługi Log Analytics na maszynach z systemem Windows lub Linux w usłudze Azure Arc, aby przeprowadzić inspekcję, czy serwer z włączoną usługą Azure Arc ma zainstalowanego agenta usługi Log Analytics. Jeśli agent nie jest zainstalowany, automatycznie wdraża go przy użyciu zadania korygowania. Możesz również użyć wbudowanej usługi Azure Policy, aby włączyć inicjatywę Azure Monitor dla maszyn wirtualnych w celu zainstalowania i skonfigurowania agenta usługi Log Analytics.

Włączanie usługi Microsoft Sentinel w obszarze roboczym usługi Log Analytics

  1. W przeglądarce przejdź do witryny Azure Portal.

  2. Wyszukaj i wybierz pozycję Microsoft Sentinel.

    Screenshot of Microsoft Sentinel selection in the Azure portal.

  3. Wybierz Dodaj.

  4. Wybierz obszar roboczy, z którym jest połączony serwer z obsługą usługi Azure Arc. Usługę Microsoft Sentinel można uruchomić w więcej niż jednym obszarze roboczym, ale dane są izolowane do jednego obszaru roboczego.  

    Screenshot of adding Microsoft Sentinel solution to the Log Analytics workspace.

  5. Wybierz pozycję Dodaj usługę Microsoft Sentinel.

Po nawiązaniu połączenia z serwerami z obsługą usługi Arc dane zaczynają przesyłać strumieniowo do usługi Microsoft Sentinel i są gotowe do rozpoczęcia pracy. Dzienniki można wyświetlić we wbudowanych skoroszytach i rozpocząć tworzenie zapytań w usłudze Log Analytics, aby zbadać dane.