练习设置
若要完成此可选练习,需要访问 Azure 订阅以创建 Azure 资源。 如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
注意
如果执行本模块中的练习,可能会产生 Azure 订阅费用。 若要估算成本,请参阅 Microsoft Sentinel 定价。
若要部署练习的先决条件,请执行以下任务。
为练习环境部署 Azure 资源管理器模板
选择以下链接:
系统将提示你登录到 Azure。
在“自定义部署”页面上,提供以下信息:
名称 说明 订阅 选择 Azure 订阅。 资源组 选择“新建”,并为新资源组提供一个名称,例如 azure-sentinel-rg。区域 选择一个 Azure 区域。 工作区名称 为 Microsoft Sentinel 工作区提供一个唯一名称,例如 <yourName>-sentinel,其中 <yourName> 表示在上一个任务中选择的工作区名称。位置 接受默认值 [resourceGroup().location]。 Simplevm 名称 接受默认值 simple-vm。 Simplevm Windows 操作系统版本 接受默认值 2016-Datacenter。 选择“查看 + 创建”,然后选择“创建”。
注意
等待部署完成。 部署时间应不超过五分钟。
检查创建的资源
在 Azure 门户中,搜索“资源组”。
选择你的资源组。
按“类型”对资源列表进行排序。
资源组应包含此表中显示的资源:
名称 Type 说明 <yourName>-sentinelLog Analytics 工作区 Microsoft Sentinel 使用的 Log Analytics 工作区,其中 <yourName> 表示在上一任务中选择的工作区名称。 simple-vmNetworkInterfaceLinux 虚拟机 (VM) 的网络接口。 SecurityInsights(<yourName>-sentinel)解决方案 Microsoft Sentinel 的安全见解。 simple-vm虚拟机 在演示中使用的 VM。 st1<xxxxx>存储帐户 VM 使用的存储帐户,其中 <xxxxx> 表示为创建唯一存储帐户名称而生成的随机字符串。 vnet1虚拟网络 VM 的虚拟网络。
配置 Microsoft Sentinel 连接器
在此任务中,将 Microsoft Sentinel 连接器部署到 Azure 活动。
- 在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Microsoft Sentinel 工作区。
- 在 Microsoft Sentinel 页面中,在菜单栏上的“配置”部分中,选择“数据连接器”。
- 在“数据连接器”窗格中,搜索并选择“Azure 活动”。 在细节窗格中,选择“打开连接器页面”。
- 查看先决条件。 你需要为 Azure Policy 分配范围分配所有者角色。
- 如果你的订阅与旧方法连接,系统会指示你使用“1”的“配置”说明将其断开连接。 断开你的订阅与旧方法的连接”的“配置”说明来断开它的连接。
- 如果没有使用旧方法配置连接器,请继续在 “配置”区域中进行“2. 连接你的订阅...”。
- 选择“启动 Azure Policy 分配向导>”。
- 在“基本信息”选项卡中,选择“范围”下的省略号按钮 (...),然后从下拉列表中选择你的订阅。 然后选取“选择” 。
- 选择“参数”选项卡,从“主要 Log Analytics 工作区”下拉列表中选择“uniquename-sentinel”工作区。
- 选择“修正”选项卡,然后选中“创建修正任务”框。
- 选择“查看 + 创建”按钮,检查配置。
- 选择“创建”以完成操作。
注意
Azure 活动连接器使用策略分配,因此,因此可能需要 15 到 30 分钟才会显示“已连接”状态。