Integração do servidor habilitado para Azure Arc ao Microsoft Sentinel

  • 4 minutos

A Tailwind Traders integrou os computadores em servidores habilitados para Azure Arc e agora quer integrar esses servidores ao Microsoft Sentinel. Nesta unidade, você aprenderá a fazer a integração dos servidores habilitados para Azure Arc ao Microsoft Sentinel. Primeiro, você conectará o servidor habilitado para Azure Arc a um workspace do Log Analytics. Depois, você habilitará o Microsoft Sentinel neste workspace.

Conecte o servidor habilitado para Azure Arc a um workspace do Log Analytics usando o agente do Log Analytics ou o agente do Azure Monitor

No caso de computadores e máquinas virtuais, você pode instalar o agente do Log Analytics que coleta os logs e os encaminha para o Microsoft Sentinel. Os servidores habilitados para o Azure Arc dão suporte à implantação do agente de Log Analytics usando os seguintes métodos:

  • Usando a estrutura de extensões de VM, você pode implantar a extensão de VM do agente do Log Analytics em um servidor Windows e/ou Linux que não esteja no Azure. Você pode gerenciar extensões de VM usando o portal do Azure, a CLI do Azure, o Azure PowerShell e os modelos do Azure Resource Manager.
  • Usando o Azure Policy, você pode implantar o agente do Log Analytics em computadores Linux ou Windows do Azure Arc para auditar se o servidor habilitado para Azure Arc tem o agente do Log Analytics instalado. Se o agente não estiver instalado, ele o implantará automaticamente usando uma tarefa de correção. Você também pode usar o Azure Policy interno para permitir que a iniciativa Habilitar o Azure Monitor para VMs instale e configure o agente do Log Analytics.

Habilitar o Microsoft Sentinel no workspace do Log Analytics

  1. No navegador, acesse o portal do Azure.

  2. Pesquise pelo Microsoft Sentinel e selecione-o.

    Screenshot of Microsoft Sentinel selection in the Azure portal.

  3. Selecione Adicionar.

  4. Selecione o workspace ao qual o servidor habilitado para Azure Arc está conectado. Você pode executar o Microsoft Sentinel em mais de um workspace, mas os dados são isolados em um só workspace.  

    Screenshot of adding Microsoft Sentinel solution to the Log Analytics workspace.

  5. Selecione Adicionar Microsoft Sentinel.

Após a conexão de seus servidores habilitados para Arc, os dados começarão a ser transmitidos para o Microsoft Sentinel e estarão prontos para você começar a trabalhar. Você pode ver os logs nas pastas de trabalho internas e começar a criar consultas no Log Analytics para investigar os dados.