Упражнение. Запрос и визуализация данных с помощью книг Microsoft Sentinel

  • 10 мин

Этот запрос и визуализация данных является необязательным уроком. Если вы хотите выполнить это упражнение, вам потребуется доступ к подписке Azure, где можно создать ресурсы Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Примечание.

Если вы решили выполнить упражнение в этом модуле, обратите внимание, что в подписке Azure за это может взиматься плата. Чтобы оценить затраты, ознакомьтесь с ценами на Microsoft Sentinel.

Чтобы развернуть необходимые компоненты для упражнения, выполните следующие задачи.

Задача 1. Создание ресурсов

  1. Выберите следующую ссылку:

    Deploy To Azure.

    Вам будет предложено войти в Azure.

  2. На странице Настраиваемое развертывание укажите следующие сведения.

    Имя Описание
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Создать и укажите имя группы ресурсов, например azure-sentinel-rg.
    Регион В раскрывающемся меню выберите расположение, в котором требуется развернуть Microsoft Sentinel.
    Имя рабочей области Укажите уникальное имя рабочей области Microsoft Sentinel, например <yourName-sentinel>.
    Местонахождение Оставьте значение по умолчанию [resourceGroup().location].
    Имя Simplevm Оставьте значение по умолчанию simple-vm.
    Версия ОС Windows в simplevm Оставьте значение по умолчанию 2016-Datacenter.

  3. Выберите Проверить и создать, а затем выберите Создать.

    Screenshot of the Custom Deployment page.

    Примечание.

    Дождитесь завершения развертывания. Развертывание займет менее 5 минут.

Задача 2. Проверка созданных ресурсов

  1. На портале Azure найдите Группы ресурсов.

  2. Выберите azure-sentinel-rg.

  3. Отсортируйте список ресурсов по типу.

  4. Группа ресурсов должна содержать ресурсы, указанные в следующей таблице.

    Имя. Тип Описание
    <yourName-sentinel> Рабочая область Log Analytics Рабочая область Log Analytics, используемая Microsoft Sentinel, с именем рабочей области, выбранной в предыдущей задаче.
    simple-vmNetworkInterface Сетевой интерфейс Сетевой интерфейс для виртуальной машины.
    Безопасность Аналитика(<yourName-sentinel>) Решение Аналитика безопасности для Microsoft Sentinel.
    st1xxxxx Storage account служба хранилища учетную запись, используемую виртуальной машиной. В случайной строке xxxxx создается уникальное имя учетной записи хранения.
    simple-vm Виртуальная машина Виртуальная машина, используемая в демонстрации.
    vnet1 Виртуальная сеть Виртуальная сеть для виртуальной машины.

Примечание.

Ресурсы и конфигурация в этом упражнении необходимы в следующем упражнении. Если вы планируете выполнить следующее упражнение, не удаляйте эти ресурсы.

Задача 3. Настройка соединителей Microsoft Sentinel

В этой задаче вы развернете соединитель Microsoft Sentinel в действии Azure.

  1. В портал Azure найдите и выберите Microsoft Sentinel. Выберите рабочую область Microsoft Sentinel, созданную в предыдущей задаче.

  2. На странице Microsoft Sentinel в строке меню в разделе "Конфигурация" выберите соединители данных.

  3. В области Соединители данных найдите и выберите Активность Azure.

  4. В области сведений выберите Открыть страницу соединителя.

    Screenshot of the Microsoft Sentinel Data connectors page.

  5. На экране действия Azure в разделе "Инструкции" проверьте необходимые компоненты и выполните действия по настройке.

  6. Когда отобразится состояние Подключено, закройте все открытые панели, чтобы вернуться на панель Microsoft Sentinel | Соединитель данных.

Примечание.

Развертывание соединителя для области "Активность Azure" может занять до 15 минут. Вы можете перейти к выполнению остальных шагов в упражнении и последующих блоков этого модуля.