练习 - 设置 Azure 环境

  • 20 分钟

若要为可选事件管理练习设置 Azure 环境,请完成以下步骤。

先决条件

若要完成此可选练习,需要访问 Azure 订阅。 如果没有订阅,请创建免费帐户

注意

请注意,此练习创建的资源可能会在 Azure 订阅中产生成本。 若要估算成本,请参阅 Microsoft Sentinel 定价

部署 Azure 资源管理器模板

  1. 选择以下按钮,部署创建 Azure 资源的 Azure 资源管理器 (ARM) 模板。 出现提示时,请登录 Azure。

    Deploy To Azure.

  2. 在“自定义部署”页面上,提供以下信息:

    • 订阅:选择要 Azure 订阅(如尚未选择)。
    • 资源组:选择“新建”,将资源组命名为“azure-sentinel-rg”。
    • 位置:选择要在其中部署 Microsoft Sentinel 的 Azure 区域。
    • 工作区:为 Microsoft Sentinel 工作区提供唯一的名称,如“<yourName>-Sentinel”。

  3. 将其他设置保留原样,选择“查看 + 创建”,然后选择“创建”。

等待部署完成。 部署时间应不超过五分钟。

验证已部署的资源

  1. 部署完成后,选择“转到资源组”,或在门户中搜索“资源组”,然后选择“azure-sentinel-rg”。

  2. 在“azure-sentinel-rg”页上,按类型对资源列表进行排序。

  3. 确认资源组包含以下资源:

    名称 Type 说明
    <yourName>-Sentinel Log Analytics 工作区 Microsoft Sentinel 使用的 Log Analytics 工作区,以及你为工作区选择的名称。
    simple-vmNetworkInterface Linux VM 的网络接口。
    SecurityInsights(<yourName>-Sentinel) 解决方案 Microsoft Sentinel 的安全见解。
    st1<xxxxx> 存储帐户 VM 使用的存储帐户,其中 <xxxxx> 表示为创建唯一存储帐户名称而生成的随机字符串。
    simple-vm 虚拟机 (VM) 在演示中使用的 VM。
    vnet1 虚拟网络 VM 的虚拟网络。

配置 Microsoft Sentinel 连接器

接下来,部署适用于 Microsoft Sentinel 的 Azure 活动日志连接器。

  1. Azure 门户中,搜索并选择“Microsoft Sentinel”。
  2. 在“Microsoft Sentinel”页上,选择创建的 Microsoft Sentinel 工作区。
  3. 在工作区页上,在左侧菜单的“配置”下选择“数据连接器”。
  4. 在“数据连接器”页上,搜索并选择“Azure 活动”,然后在“Azure 活动”屏幕上选择“打开连接器页”。
  5. 在“Azure 活动”页底部,选择“启动 Azure Policy 分配向导”。
  6. 在向导的“基本信息”选项卡中,选择“范围”下的省略号“...”。 在“范围”窗格中,选择订阅,然后选择“选择”。
  7. 选择“参数”选项卡,然后从“主要 Log Analytics 工作区”下拉列表中选择“Microsoft Sentinel 工作区。
  8. 选择“修正”选项卡,然后选择“创建修正任务”复选框。 此操作通过应用订阅配置将信息发送到 Log Analytics 工作区。
  9. 选择“查看 + 创建”按钮,检查配置,然后选择“创建”。

Azure 活动连接器可能需要一小时才会显示“已连接”状态。 部署连接器时,请继续学习以下单元,了解 Microsoft Sentinel 中的事件。