Eseguire l'onboarding dei server abilitati per Azure Arc in Microsoft Sentinel

Questo articolo consente di eseguire l'onboarding del server abilitato per Azure Arc in Microsoft Sentinel e iniziare a raccogliere eventi correlati alla sicurezza. Microsoft Sentinel fornisce un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce in tutta l'azienda.

Prerequisiti

Prima di iniziare, verificare di aver soddisfatto i requisiti seguenti:

• Un'area di lavoro Log Analytics. Per altre informazioni sulle aree di lavoro Log Analytics, vedere Progettazione della distribuzione dei log di Monitoraggio di Azure.

• Microsoft Sentinel abilitato nella sottoscrizione.

• Il computer o il server sono connessi ai server abilitati per Azure Arc.

Eseguire l'onboarding dei server abilitati per Azure Arc in Microsoft Sentinel

Microsoft Sentinel include molti connettori per le soluzioni Microsoft, che sono disponibili per impostazione predefinita e consentono un'integrazione in tempo reale. Per i computer fisici e le macchine virtuali, è possibile installare l'agente di Log Analytics che raccoglie i log e li inoltra ad Azure Sentinel. I server abilitati per Azure Arc supportano la distribuzione dell'agente Log Analytics usando i metodi seguenti:

• Uso del framework delle estensioni della macchina virtuale.

  Questa funzionalità nei server abilitati per Azure Arc consente di distribuire l'estensione della macchina virtuale dell'agente Log Analytics in un server Windows e/o Linux non Azure. Le estensioni delle macchine virtuali possono essere gestite con i metodi seguenti nei computer ibridi o nei server gestiti dai server abilitati per Azure Arc:

  • Ilportale di Azure
  • L'interfaccia della riga di comando di Azure
  • Azure PowerShell
  • Modelli di Azure Resource Manager

• Utilizzo di Criteri di Azure.

  Questo approccio consente di usare il criterio predefinito Distribuire l'agente Log Analytics in computer Azure Arc Linux o Windows Criteri di Azure per controllare se nel server abilitato per Azure Arc è installato l'agente Log Analytics. Se l'agente non è installato, viene distribuito automaticamente usando un'attività di correzione. In alternativa, se si prevede di monitorare i computer con Monitoraggio di Azure per le macchine virtuali, usare invece l'iniziativa Abilita Monitoraggio di Azure per le macchine virtuali per installare e configurare l’agente Log Analytics.

È consigliabile installare l'agente di Log Analytics per Windows o Linux usando Criteri di Azure.

Dopo avere connesso i server abilitati per Arc, viene avviato il flusso dei dati in Microsoft Sentinel ed è possibile iniziare a usarli. È possibile visualizzare i log nelle cartelle di lavoro predefinite e iniziare a creare le query in Log Analytics per esaminare i dati.

Passaggi successivi

Iniziare a rilevare minacce con Microsoft Sentinel.