Übung: Einrichten der Azure-Umgebung

  • 20 Minuten

Zum Einrichten der Azure-Umgebung für die optionale Übung zur Incidentverwaltung führen Sie die folgenden Schritte aus.

Voraussetzungen

Zum Abschließen dieser optionalen Übung benötigen Sie Zugriff auf ein Azure-Abonnement. Sollten Sie noch kein Abonnement besitzen, erstellen Sie ein kostenloses Konto.

Hinweis

Beachten Sie, dass in dieser Übung Ressourcen erstellt werden, die möglicherweise in Ihrem Azure-Abonnement Kosten verursachen. Informationen zum Schätzen der Kosten finden Sie unter Azure Sentinel – Preise.

Stellen Sie die Azure Resource Manager-Vorlage bereit.

  1. Wählen Sie die folgende Schaltfläche aus, um die ARM-Vorlage (Azure Resource Manager) bereitzustellen, aus der die Azure-Ressourcen erstellt werden. Melden Sie sich bei Azure an, wenn Sie dazu aufgefordert werden.

    Deploy To Azure.

  2. Geben Sie auf der Seite Benutzerdefinierte Bereitstellung die folgenden Informationen an:

    • Abonnement: Wählen Sie Ihr Azure-Abonnement aus, falls es noch nicht ausgewählt ist.
    • Ressourcengruppe: Wählen Sie Neu erstellen aus, und geben Sie der Ressourcengruppe den Namen azure-sentinel-rg.
    • Standort: Wählen Sie die Azure-Region aus, in der Sie Microsoft Sentinel bereitstellen möchten.
    • Arbeitsbereichsname: Geben Sie einen eindeutigen Namen für den Microsoft Sentinel-Arbeitsbereich an, z. B. <IhrName>-Sentinel.

  3. Lassen Sie die anderen Einstellungen unverändert, wählen Sie Überprüfen + erstellen und dann Erstellen aus.

Warten Sie, bis die Bereitstellung abgeschlossen ist. Die Bereitstellung sollte weniger als fünf Minuten dauern.

Überprüfen bereitgestellter Ressourcen

  1. Wenn die Bereitstellung abgeschlossen ist, wählen Sie Zu Ressourcengruppe wechseln aus, oder suchen Sie im Portal nach Ressourcengruppen, und wählen Sie dann azure-sentinel-rg aus.

  2. Sortieren Sie auf der Seite azure-sentinel-rg die Liste der Ressourcen nach Typ.

  3. Vergewissern Sie sich, dass die Ressourcengruppe die folgenden Ressourcen enthält:

    Name Typ BESCHREIBUNG
    <IhrName>-Sentinel Log Analytics-Arbeitsbereich Log Analytics-Arbeitsbereich, den Microsoft Sentinel verwendet, mit dem Namen, den Sie für den Arbeitsbereich gewählt haben.
    simple-vmNetworkInterface Netzwerkschnittstelle Die Netzwerkschnittstelle für die VM.
    SecurityInsights(<IhrName>-Sentinel) Lösung Sicherheitserkenntnisse für Microsoft Sentinel
    st1<xxxxx> Speicherkonto Dies ist das von der VM verwendete Speicherkonto, wobei <xxxxx> eine zufällige Zeichenfolge darstellt, die zum Erstellen eines eindeutigen Speicherkontonamens generiert wird.
    simple-vm Virtueller Computer (VM) Der in der Demonstration zu verwendende virtuelle Computer.
    vnet1 Virtuelles Netzwerk Das virtuelle Netzwerk der VM.

Konfigurieren des Microsoft Sentinel-Connectors

Stellen Sie als Nächstes den Azure-Aktivitätsprotokoll-Connector für Microsoft Sentinel bereit.

  1. Suchen Sie im Azure-Portal nach Microsoft Sentinel, und wählen Sie den Eintrag aus.
  2. Wählen Sie auf der Seite Microsoft Sentinel den von Ihnen erstellten Microsoft Sentinel-Arbeitsbereich aus.
  3. Wählen Sie auf der Seite des Arbeitsbereichs im linken Menü unter Konfiguration die Option Datenconnectors aus.
  4. Suchen Sie auf der Seite Datenconnectors nach Azure-Aktivität, wählen Sie den Eintrag aus, und wählen Sie dann auf dem Bildschirm Azure-Aktivität die Option Connectorseite öffnen aus.
  5. Wählen Sie unten auf der Seite Azure-Aktivität die Option Azure Policy Zuweisungs-Assistent starten aus.
  6. Wählen Sie auf der Registerkarte Grundlagen des Assistenten unter Bereich die Auslassungspunkte ... aus. Wählen Sie im Bereich Bereiche Ihr Abonnement und dann Auswählen aus.
  7. Wählen Sie die Registerkarte Parameter und dann Ihren Microsoft Sentinel-Arbeitsbereich in der Dropdownliste Primärer Log Analytics-Arbeitsbereich aus.
  8. Wählen Sie die Registerkarte Wartung aus, und aktivieren Sie dann das Kontrollkästchen Korrekturtask erstellen. Mit dieser Aktion wird die Abonnementkonfiguration angewendet, um die Informationen an den Log Analytics-Arbeitsbereich zu senden.
  9. Wählen Sie die Schaltfläche Überprüfen + erstellen aus, um die Konfiguration zu überprüfen, und wählen Sie dann Erstellen aus.

Der Azure Activity-Connector benötigt möglicherweise bis zu einer Stunde, bis er den Status Verbunden anzeigt. Fahren Sie während der Bereitstellung des Connectors mit den folgenden Einheiten fort, um mehr über Incidents in Microsoft Sentinel zu erfahren.