练习 - 通过 Microsoft Sentinel 工作簿查询和可视化数据

  • 10 分钟

本查询和可视化数据练习是一个可选单元。 如果要进行此练习,需要访问 Azure 订阅,可以在其中创建 Azure 资源。 如果没有 Azure 订阅,请在开始之前创建一个免费帐户

注意

如果选择执行本模块中的练习,请注意,可能会产生 Azure 订阅费用。 若要估算成本,请参阅 Microsoft Sentinel 定价

若要部署练习的先决条件,请执行以下任务。

任务 1:创建资源

  1. 选择以下链接:

    Deploy To Azure.

    系统将提示你登录到 Azure。

  2. 在“自定义部署”页面上,提供以下信息:

    名称 说明
    订阅 选择 Azure 订阅。
    资源组 选择“新建”,提供资源组名称,如“azure-sentinel-rg”。
    区域 从下拉菜单中,选择要部署 Microsoft Sentinel 的位置。
    工作区名称 为 Microsoft Sentinel 工作区提供唯一的名称,如“<yourName>-sentinel”。
    位置 接受默认值 [resourceGroup().location]。
    Simplevm 名称 接受默认值 simple-vm。
    Simplevm Windows OS 版本 接受默认值 2016-Datacenter。

  3. 选择“查看 + 创建”,然后选择“创建”。

    Screenshot of the Custom Deployment page.

    注意

    等待部署完成。 部署所需时间不超过 5 分钟。

任务 2:检查创建的资源

  1. 在 Azure 门户中,搜索“资源组”。

  2. 选择“azure-sentinel-rg”。

  3. 按“类型”对资源列表进行排序。

  4. 资源组应包含下表列出的资源。

    名称 Type 说明
    <yourName>-sentinel Log Analytics 工作区 Microsoft Sentinel 使用的 Log Analytics 工作区,使用在上一任务中选择的工作区名称。
    simple-vmNetworkInterface 网络接口 虚拟机 (VM) 的网络接口。
    SecurityInsights(<yourName>-sentinel) 解决方案 Microsoft Sentinel 的安全见解。
    st1xxxxx 存储帐户 VM 使用的存储帐户。 随机字符串 xxxxx 创建唯一的存储帐户名称。
    simple-vm 虚拟机 演示中使用的虚拟机。
    vnet1 虚拟网络 VM 的虚拟网络。

注意

本练习中的资源和配置在下一练习中是必需的。 如果打算完成下一个练习,请不要删除这些资源。

任务 3:配置 Microsoft Sentinel 连接器

在此任务中,将 Microsoft Sentinel 连接器部署到 Azure 活动。

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”。 选择你在上一个任务中创建的 Microsoft Sentinel 工作区。

  2. 在 Microsoft Sentinel 页面中,在菜单栏上的“配置”下,选择“数据连接器”。

  3. 在“数据连接器”窗格中,搜索并选择“Azure 活动”。

  4. 在详细内容窗格中,选择“打开连接器页面”。

    Screenshot of the Microsoft Sentinel Data connectors page.

  5. 在“Azure 活动”屏幕的“说明”下,验证“先决条件”,然后按照“配置”步骤执行操作。

  6. 收到“已连接”状态时,请关闭所有打开的面板以返回到“Microsoft Sentinel | 数据连接器”面板。

注意

部署 Azure 活动的连接器可能需要 15 分钟。 可继续执行本练习中的其余步骤以及本模块中的后续单元。