練習設定
您需要存取 Azure 訂用帳戶來建立 Azure 資源,才能完成這個選擇性練習。 如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
注意
如果執行本課程模組中的練習,您的 Azure 訂用帳戶可能會產生費用。 若要預估花費,請參考 Microsoft Sentinel 價格。
若要部署練習的先決條件,請執行下列工作。
部署用於練習環境的 Azure Resource Manager 範本
選取下列連結:
系統會提示您登入 Azure。
在 [自訂部署] 頁面上,提供下列資訊:
名稱 描述 訂用帳戶 選取 Azure 訂閱。 資源群組 選取 [新建],並提供資源群組的名稱,例如 azure-sentinel-rg。區域 選取 Azure 區域。 工作區名稱 提供 Microsoft Sentinel 工作區的唯一名稱,例如 <yourName>-sentinel,其中 <yourName> 代表您在上一個工作中選擇的工作區名稱。位置 接受預設值 [resourceGroup().location]。 Simplevm 名稱 接受預設值 simple-vm。 Simplevm Windows OS 版本 接受預設值 2016-Datacenter。 選取 [檢閱 + 建立],然後選取 [建立]。
注意
等待部署完成。 部署應該不到五分鐘即可完成。
檢查已建立的資源
在 Azure 入口網站中,搜尋資源群組。
選取您的資源群組。
依類型排序資源清單。
資源群組應包含此表格中顯示的資源:
名稱 類型 描述 <yourName>-sentinelLog Analytics 工作區 Microsoft Sentinel 使用的 Log Analytics 工作區,其中 <yourName> 代表您在先前工作中選擇的工作區名稱。 simple-vmNetworkInterface網路介面 虛擬機器 (VM) 的網路介面。 SecurityInsights(<yourName>-sentinel)解決方案 適用於 Microsoft Sentinel 的安全性見解。 simple-vm虛擬機器 示範中使用的 VM。 st1<xxxxx>儲存體帳戶 VM 所使用的儲存體帳戶,其中 <xxxxx> 代表產生來建立唯一儲存體帳戶名稱的隨機字串。 vnet1虛擬網路 用於 VM 的虛擬網路。
設定 Microsoft Sentinel 連接器
在此工作中,您會將 Microsoft Sentinel 連接器部署至 Azure 活動。
- 在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel],然後選取先前建立的 Microsoft Sentinel 工作區。
- 在 [Microsoft Sentinel] 頁面上,於功能表列上選取 [設定] 區段中的 [資料連接器]。
- 在 [資料連接器] 窗格上,搜尋並選取 [Azure 活動]。 在詳細資料窗格上,選取 [開啟連接器頁面]。
- 檢閱 必要條件。 您必須為 Azure 原則 指派範圍指派擁有者角色。
- 如果您有與舊版方法連線的訂用帳戶,系統會使用 「1」 的組態指示,將訂用帳戶導向中斷連線。 將您的訂閱與舊版方法中斷連線」。
- 如果您沒有以舊版方法設定連接器, 請前往設定區域中的「2. 連線您的訂閱」。
- 選取 [啟動 Azure 原則指派精靈>]。
- 在 [基本] 索引標籤中,選取 [範圍] 底下的省略號按鈕 ,然後從下拉式清單中選擇您的訂用帳戶。 然後選擇選取。
- 從 [主要 Log Analytics 工作區] 下拉式清單中,選取 [參數] 索引卷標,選擇您的 uniquename-sentinel 工作區。
- 選取 [補救] 索引卷標,然後核取 [建立補救工作] 方塊。
- 選取 [檢閱 + 建立] 按鈕以檢閱設定。
- 選取 [建立] 以完成。
注意
Azure 活動的連接器會使用原則指派,因此可能需要 15 到 30 分鐘才會顯示 連線 的狀態。