練習 - 設定 Azure 環境
若要設定選用的事件管理練習的 Azure 環境,請完成下列步驟。
必要條件
您需要存取 Azure 訂用帳戶,才能完成這個選用的練習。 若您沒有訂用帳戶,請建立一個免費帳戶。
注意
請注意,此練習會建立可能會在您的 Azure 訂用帳戶中產生成本的資源。 若要預估花費,請參考 Microsoft Sentinel 價格。
部署 Azure Resource Manager 範本
選取下列按鈕,以部署會建立 Azure 資源的 Azure Resource Manager (ARM) 範本。 如果出現提示,請登入 Azure。
在 [自訂部署] 頁面上,提供下列資訊:
- 訂用帳戶:如果尚未選取,請選取您的 Azure 訂用帳戶。
- 資源群組:選取 [建立新的],並將資源群組命名為 azure-sentinel-rg。
- 位置:選取您要部署 Microsoft Sentinel 的 Azure 區域。
- 工作區名稱:提供 Microsoft Sentinel 工作區的唯一名稱,例如 <yourName>-Sentinel。
保留其他設定,選取 [檢閱 + 建立],然後選取 [建立]。
等待部署完成。 部署應該不到五分鐘即可完成。
驗證已部署的資源
部署完成時,請選取 [移至資源群組],或在入口網站中搜尋資源群組,然後選取 azure-sentinel-rg。
在 azure-sentinel-rg 頁面上,依 [類型] 排序資源清單。
確認資源群組包含下列資源:
名稱 類型 描述 <yourName>-Sentinel Log Analytics 工作區 Microsoft Sentinel 使用的 Log Analytics 工作區,其中包含您為工作區選擇的名稱。 simple-vmNetworkInterface 網路介面 用於 VM 的網路介面。 SecurityInsights(<yourName>-Sentinel) 解決方案 適用於 Microsoft Sentinel 的安全性見解。 st1<xxxxx> 儲存體帳戶 VM 所使用的儲存體帳戶,其中 <xxxxx> 代表為建立唯一的儲存體帳戶名稱所產生的隨機字串。 simple-vm 虛擬機器 (VM) 要用於示範的 VM。 vnet1 虛擬網路 用於 VM 的虛擬網路。
設定 Microsoft Sentinel 連接器
接下來,部署適用於 Microsoft Sentinel 的 Azure 活動記錄連接器。
- 在 Azure 入口網站中,搜尋並選取 Microsoft Sentinel。
- 在 Microsoft Sentinel 頁面上,選取您建立的 Microsoft Sentinel 工作區。
- 在工作區頁面上,選取左側功能表中 [設定] 底下的 [資料連接器]。
- 在 [資料連接器] 頁面上,搜尋並選取 [Azure 活動],然後選取 [Azure 活動] 畫面上的 [開啟連接器] 頁面。
- 在 [Azure 活動] 頁面底部,選取 [啟動 Azure 原則指派精靈]。
- 在精靈的 [基本] 索引標籤中,選取 [範圍] 底下的省略符號 ...。 在 [範圍] 窗格中,選取您的訂用帳戶,然後選取 [選取]。
- 選取 [參數] 索引標籤,然後從 [主要 Log Analytics 工作區] 下拉式清單中選擇您的 Microsoft Sentinel 工作區。
- 選取 [補救] 索引標籤,然後選取 [建立補救工作] 核取方塊。 此動作會套用訂用帳戶設定,以將資訊傳送至 Log Analytics 工作區。
- 選取 [檢閱 + 建立] 按鈕以檢閱設定,然後選取 [建立]。
Azure 活動連接器可能需要一小時的時間,才能顯示已連線狀態。 當連接器部署時,請繼續進行下列單元,以了解 Microsoft Sentinel 中的事件。