Övning – Fråga efter och visualisera data med Microsoft Sentinel-arbetsböcker

  • 10 minuter

Den här frågan och visualisera dataövningen är en valfri enhet. Om du vill utföra den här övningen behöver du åtkomst till en Azure-prenumeration där du kan skapa Azure-resurser. Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Kommentar

Om du väljer att utföra övningen i den här modulen ska du vara medveten om att det kan tillkomma kostnader i din Azure-prenumeration. Information om hur du beräknar kostnaden finns i Priser för Microsoft Sentinel.

Om du vill distribuera förutsättningarna för övningen utför du följande uppgifter.

Uppgift 1: Skapa resurser

  1. Välj följande länk:

    Deploy To Azure.

    Du uppmanas att logga in på Azure.

  2. Ange följande information på sidan Anpassad distribution:

    Name beskrivning
    Prenumeration Välj din Azure-prenumerationen.
    Resursgrupp Välj Skapa ny och ange ett namn på resursgruppen, som azure-sentinel-rg.
    Region I den nedrullningsbara menyn väljer du den plats där du vill distribuera Microsoft Sentinel.
    Namn på arbetsyta Ange ett unikt namn för Microsoft Sentinel-arbetsytan, till exempel yourName-sentinel>.<
    Plats Acceptera standardvärdet [resourceGroup().location].
    Simplevm-namn Acceptera standardvärdet simple-vm.
    Windows OS-version för simplevm Acceptera standardvärdet 2016-Datacenter.

  3. Välj Granska + skapa och välj sedan Skapa.

    Screenshot of the Custom Deployment page.

    Kommentar

    Vänta tills distributionen har slutförts. Distributionen bör ta mindre än 5 minuter.

Uppgift 2: Kontrollera de resurser som skapats

  1. Sök efter Resursgrupper i Azure-portalen.

  2. Välj azure-sentinel-rg.

  3. Sortera listan med resurser efter Typ.

  4. Resursgruppen ska innehålla resurserna i nedanstående tabell.

    Namn Type Beskrivning
    <yourName-sentinel> Log Analytics-arbetsyta Log Analytics-arbetsyta som används av Microsoft Sentinel, med det arbetsytenamn som du valde i föregående uppgift.
    simple-vmNetworkInterface Nätverksgränssnitt Nätverksgränssnitt för den virtuella datorn (VM).
    SecurityInsights(<yourName-sentinel>) Lösning Säkerhetsinsikter för Microsoft Sentinel.
    st1xxxxx Lagringskonto Lagringskonto som används av den virtuella datorn. Den slumpmässiga strängen xxxxx skapar ett unikt lagringskontonamn.
    simple-vm Virtuell dator Virtuell dator som används i demonstrationen.
    vnet1 Virtuellt nätverk Virtuellt nätverk för den virtuella datorn.

Kommentar

Resurserna och konfigurationen i den här övningen krävs i nästa övning. Om du tänker slutföra nästa övning ska du inte ta bort de här resurserna.

Uppgift 3: Konfigurera Microsoft Sentinel-anslutningsappar

I den här uppgiften distribuerar du en Microsoft Sentinel-anslutning till Azure Activity.

  1. I Azure-portalen söker du efter och väljer Microsoft Sentinel. Välj den Microsoft Sentinel-arbetsyta som du skapade i föregående uppgift.

  2. På sidan Microsoft Sentinel går du till menyraden under Konfiguration och väljer Dataanslutningsprogram.

  3. I fönstret Dataanslutningsprogram söker du efter och väljer Azure-aktivitet.

  4. I informationsfönstret väljer du Öppna anslutningsprogramssidan.

    Screenshot of the Microsoft Sentinel Data connectors page.

  5. På skärmen Azure-aktivitet under Instruktioner kontrollerar du dina förutsättningar och följer sedan konfigurationsstegen.

  6. När du får statusen Anslut ed stänger du alla öppna paneler för att återgå till Microsoft Sentinel | Panelen Dataanslutning.

Kommentar

Anslutningsprogrammet för Azure-aktivitet kan ta 15 minuter att distribuera. Du kan fortsätta med resten av stegen i övningen och med efterföljande enheter i den här modulen.