Подключение серверов с поддержкой Azure Arc к Microsoft Sentinel

Эта статья поможет вам подключить компьютеры с поддержкой Azure Arc к Microsoft Sentinel , чтобы начать сбор событий, связанных с безопасностью. Microsoft Sentinel предоставляет единое решение для обнаружения оповещений, видимости угроз, упреждающей охоты и реагирования на угрозы на предприятии.

Необходимые компоненты

Перед началом работы убедитесь, что выполнены следующие требования:

• Рабочая область Log Analytics. Дополнительные сведения о рабочих областях Log Analytics см. в статье "Проектирование развертывания журналов Azure Monitor"

• Microsoft Sentinel включена в подписке

• Компьютер подключен к серверам с поддержкой Azure Arc

Подключение серверов с поддержкой Azure Arc к Microsoft Sentinel

В состав Microsoft Sentinel входит множество готовых и обеспечивающих интеграцию в режиме реального времени соединителей для решений Майкрософт. На физических и виртуальных машинах можно установить агент Log Analytics, который собирает журналы и перенаправляет их в Microsoft Sentinel. Серверы с поддержкой Azure Arc поддерживают развертывание агента Log Analytics с помощью следующих методов:

• Использование платформы расширений виртуальной машины.

  Эта функция на серверах с поддержкой Azure Arc позволяет развернуть расширение виртуальной машины для агента Log Analytics на сервере Windows и (или) Linux, размещенном вне Azure. Расширения виртуальных машин можно управлять с помощью следующих методов на гибридных компьютерах или серверах, управляемых серверами с поддержкой Azure Arc:

  • портал Azure.
  • Интерфейс командной строки Azure
  • Azure PowerShell
  • Шаблоны Azure Resource Manager

• Использование Политики Azure.

  С помощью этого подхода вы используете агент Log Analytics Политика Azure развернуть агент Log Analytics на компьютерах Linux или Azure Arc, встроенных в политике, чтобы проверить, установлен ли сервер с поддержкой Azure Arc агент Log Analytics. Если агент не установлен, он будет развернут автоматически с помощью задачи исправления. Кроме того, если вы планируете отслеживать компьютеры с помощью Azure Monitor для виртуальных машин, используйте инициативу Включение Azure Monitor для виртуальных машин, чтобы установить и настроить агент Log Analytics.

Мы рекомендуем установить агент Log Analytics для Windows или Linux с помощью Политики Azure.

После подключения серверов с поддержкой Arc начнется потоковая передача данных в Microsoft Sentinel, и они будут готовы к началу работы. Журналы можно просмотреть во встроенных книгах. Затем вы можете приступить к исследованию данных, создав запросы в Log Analytics.

Следующие шаги

Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.