將已啟用 Azure Arc 的伺服器上線至 Microsoft Sentinel
本文可協助您將已啟用 Azure Arc 的機器上架,以 Microsoft Sentinel 開始收集安全性相關事件。 Microsoft Sentinel 為企業提供單一解決方案,可用於警示偵測、威脅可見度、主動式搜捕,以及威脅回應。
必要條件
開始之前,請確定您符合下列需求:
Log Analytics 工作區。 如需 Log Analytics 工作區的詳細資訊,請參閱 設計 Azure 監視器記錄部署
您的電腦已連線到已啟用 Azure Arc 的伺服器
將已啟用 Azure Arc 的伺服器上線至 Microsoft Sentinel
Microsoft Sentinel 隨附許多適用於 Microsoft 解決方案的連接器,現成可用且提供即時整合。 針對實體和虛擬機器,您可以安裝 Log Analytics 代理程式,該代理程式會收集記錄然後轉送至 Microsoft Sentinel。 已啟用 Azure Arc 的伺服器會使用下列方法支援部署 Log Analytics 代理程式:
使用 VM 擴充功能架構。
針對已啟用 Azure Arc 啟用的伺服器,這項功能可讓您將 Log Analytics 代理程式 VM 擴充功能部署至非 Azure Windows 和/或 Linux 伺服器。 您可以在混合式機器,或在已啟用 Azure Arc 的伺服器所管理的伺服器上,使用下列方法來管理 VM 擴充功能:
使用 Azure 原則。
使用此方法,您可以使用 Azure 原則 將 Log Analytics 代理程式部署至 Linux 或 Azure Arc 機器內建原則,以稽核已啟用 Azure Arc 的伺服器是否已安裝 Log Analytics 代理程式。 如果未安裝代理程式,便會使用補救工作自動部署代理程式。 或者,如果您打算使用 Azure Monitor for VM 來監視機器,請改用 [啟用 Azure Monitor for VM] 方案,來安裝及設定 Log Analytics 代理程式。
建議您使用 Azure 原則來安裝適用於 Windows 或 Linux 的 Log Analytics 代理程式。
與已啟用 Arc 的伺服器連線之後,您的資料就會開始串流至 Microsoft Sentinel,並準備好讓您開始使用。 您可以在內建活頁簿中檢視記錄,並且開始在 Log Analytics 中建置查詢以調查資料。