将已启用 Azure Arc 的服务器加入到 Microsoft Sentinel

  • 4 分钟

Tailwind Traders 已将其计算机加入已启用 Azure Arc 的服务器,并且现在想要将这些服务器加入 Microsoft Sentinel。 本单元将介绍如何将已启用 Azure Arc 的服务器加入到 Microsoft Sentinel。 首先,将已启用 Azure Arc 的服务器连接到 Log Analytics 工作区。 然后,在此工作区中启用 Microsoft Sentinel。

使用 Log Analytics 代理或 Azure Monitor 代理,将已启用 Azure Arc 的服务器连接到 Log Analytics 工作区

对于物理计算机和虚拟机,可以安装用于收集日志并将其转发到 Microsoft Sentinel 的 Log Analytics 代理。 已启用 Azure Arc 的服务器支持使用以下方法部署 Log Analytics 代理:

  • 使用 VM 扩展框架,可以将 Log Analytics 代理 VM 扩展部署到非 Azure Windows 和/或 Linux 服务器。 可以使用 Azure 门户、Azure CLI、Azure PowerShell 和 Azure 资源管理器模板来管理 VM 扩展。
  • 使用 Azure Policy 可将 Log Analytics 代理部署到 Windows 或 Linux Azure Arc 计算机,以审核已启用 Azure Arc 的服务器是否安装了 Log Analytics 代理。 如果该代理未安装,则使用修正任务来自动部署该代理。 还可以使用内置 Azure Policy 来启用用于 VM 的 Azure Monitor 计划,以安装和配置 Log Analytics 代理。

在 Log Analytics 工作区上启用 Microsoft Sentinel

  1. 在浏览器中转到 Azure 门户

  2. 搜索“Microsoft Sentinel”并将其选中。

    Screenshot of Microsoft Sentinel selection in the Azure portal.

  3. 选择 添加

  4. 选择与已启用 Azure Arc 的服务器连接的工作区。 可在多个工作区上运行 Microsoft Sentinel,但将数据隔离到单个工作区。  

    Screenshot of adding Microsoft Sentinel solution to the Log Analytics workspace.

  5. 选择“添加 Microsoft Sentinel”。

在连接已启用 Arc 的服务器后,数据会开始流式传输到 Microsoft Sentinel,并会准备就绪供你开始使用。 你可以在内置仪表板中查看日志并开始在 Log Analytics 中构建查询以调查数据。