將已啟用 Azure Arc 的伺服器上線至 Microsoft Sentinel

  • 4 分鐘

Tailwind Traders 已將其電腦上線至已啟用 Azure Arc 的伺服器,現在想要將這些伺服器上線至 Microsoft Sentinel。 在本單元中,您將了解如何將已啟用 Azure Arc 的伺服器上線至 Microsoft Sentinel。 首先,您會將已啟用 Azure Arc 的伺服器連線到 Log Analytics 工作區。 其次,您會在此工作區上啟用 Microsoft Sentinel。

使用 Log Analytics 代理程式或 Azure 監視器代理程式,將已啟用 Azure Arc 的伺服器連線至 Log Analytics 工作區

針對實體和虛擬機器,您可以安裝 Log Analytics 代理程式,該代理程式會收集記錄然後轉送至 Microsoft Sentinel。 已啟用 Azure Arc 的伺服器會使用下列方法支援部署 Log Analytics 代理程式:

  • 使用 VM 擴充功能架構,您可以將 Log Analytics 代理程式 VM 擴充功能部署到非 Azure Windows 和/或 Linux 伺服器。 您可以使用 Azure 入口網站、Azure CLI、Azure PowerShell 和 Azure Resource Manager 範本來管理 VM 延伸模組。
  • 您可以使用 Azure 原則,將 Log Analytics 代理程式部署至 Windows 或 Linux Azure Arc 電腦,以稽核已啟用 Azure Arc 的伺服器是否已安裝 Log Analytics 代理程式。 如果未安裝代理程式,便會使用補救工作自動部署代理程式。 您也可以使用內建 Azure 原則來啟用適用於 VM 的 Azure 監視器方案來安裝和設定 Log Analytics 代理程式。

在 Log Analytics 工作區上啟用 Microsoft Sentinel

  1. 在瀏覽器中,移至 Azure 入口網站

  2. 搜尋並選取 [Microsoft Sentinel]

    Screenshot of Microsoft Sentinel selection in the Azure portal.

  3. 選取新增

  4. 選取已啟用 Azure Arc 的伺服器所連線工作區。 您可以在一個以上的工作區上執行 Microsoft Sentinel,但資料會隔離到單一工作區。  

    Screenshot of adding Microsoft Sentinel solution to the Log Analytics workspace.

  5. 選取 [新增 Microsoft Sentinel]

與已啟用 Arc 的伺服器連線之後,您的資料就會開始串流至 Microsoft Sentinel,並準備好讓您開始使用。 您可以在內建活頁簿中檢視記錄,並且開始在 Log Analytics 中建立查詢以調查資料。