Incorporación de servidores habilitados para Azure Arc a Microsoft Sentinel

En este artículo encontrará información que le permitirá incorporar el servidor habilitado para Azure Arc a Microsoft Sentinel y comenzar a recopilar eventos relacionados con la seguridad. Microsoft Sentinel proporciona una única solución para la detección de alertas, la visibilidad de amenazas y la búsqueda proactiva y la respuesta contra amenazas en toda la empresa.

Requisitos previos

Antes de comenzar, asegúrese de que cumple los requisitos siguientes:

• Un área de trabajo de Log Analytics. Para obtener más información sobre las áreas de trabajo de Log Analytics, consulte Diseño de su implementación de Azure Monitor Logs.

• Microsoft Sentinel está habilitado en la suscripción.

• La máquina o el servidor están conectados a servidores habilitados para Azure Arc.

Incorporación de servidores habilitados para Azure Arc a Microsoft Sentinel

Microsoft Sentinel incluye una serie de conectores para las soluciones de Microsoft que están listos para usar y que proporcionan integración en tiempo real. Tanto en las máquinas físicas como en las virtuales, puede instalar el agente de Log Analytics que recopila los registros y los reenvía a Microsoft Sentinel. Los servidores habilitados para Azure Arc admiten la implementación del agente de Log Analytics mediante los métodos siguientes:

• Uso del marco de extensiones de VM.

  Esta característica de los servidores habilitados para Azure Arc le permite implementar la extensión de máquina virtual del agente de Log Analytics en un servidor Windows o Linux que no sea de Azure. Las extensiones de máquina virtual se pueden administrar con los siguientes métodos en las máquinas híbridas o en servidores administrados por otros habilitados para Azure Arc:

  • Azure Portal
  • La CLI de Azure
  • Azure PowerShell
  • Plantillas de Azure Resource Manager

• Uso de Azure Policy.

  Con este enfoque, puede usar la directiva integrada Implementación del agente de Log Analytics en máquinas de Azure Arc de Linux o de Windows de Azure Policy para auditar si el servidor habilitado para Azure Arc tiene instalado el agente de Log Analytics. Si el agente no está instalado, lo implementa automáticamente mediante una tarea de corrección. Como alternativa, si planea supervisar las máquinas con Azure Monitor para VM, puede usar en su lugar la iniciativa Habilitar Azure Monitor para VM para instalar y configurar el agente de Log Analytics.

Se recomienda instalar el agente de Log Analytics para Windows o Linux con Azure Policy.

Una vez conectados los servidores habilitados para Arc, los datos comienzan a transmitirse a Microsoft Sentinel y podrá comenzar a trabajar con ellos. Puede ver los registros en los libros integrados y comenzar a crear consultas en Log Analytics para investigar los datos.

Pasos siguientes

Empiece a detectar amenazas con Microsoft Sentinel.