Esercizio - Configurare l'ambiente Azure
Per configurare l'ambiente Azure per l'esercizio facoltativo di gestione degli eventi imprevisti, seguire questa procedura.
Prerequisiti
Per completare questo esercizio facoltativo, è necessario accedere a una sottoscrizione di Azure. Se non si ha una sottoscrizione, creare un account gratuito.
Annotazioni
Tenere presente che questo esercizio crea risorse che potrebbero comportare costi nella sottoscrizione di Azure. Per stimare i costi, vedere Prezzi di Microsoft Sentinel.
Distribuire il modello di Azure Resource Manager
Selezionare il pulsante seguente per distribuire il modello di Azure Resource Manager (ARM) che crea le risorse di Azure. Se richiesto, accedere ad Azure.
Nella pagina Distribuzione personalizzata specificare le informazioni seguenti:
- Sottoscrizione: selezionare la sottoscrizione di Azure, se non è già selezionata.
- Gruppo di risorse: selezionare Crea nuovo e assegnare al gruppo di risorse il nome azure-sentinel-rg.
- Località: selezionare l'area di Azure in cui si vuole distribuire Microsoft Sentinel.
- Nome area di lavoro: specificare un nome univoco per l'area di lavoro di Microsoft Sentinel, ad esempio <yourName-Sentinel>.
Lasciare invariate le altre impostazioni, selezionare Rivedi e crea e quindi selezionare Crea.
Attendere il completamento della distribuzione. La distribuzione dovrebbe richiedere meno di cinque minuti.
Verificare le risorse distribuite
Al termine della distribuzione, selezionare Vai al gruppo di risorse o cercare Gruppi di risorse nel portale e quindi selezionare azure-sentinel-rg.
Nella pagina azure-sentinel-rg ordinare l'elenco delle risorse in base al tipo.
Verificare che il gruppo di risorse contenga le risorse seguenti:
Nome TIPO Descrizione <nomeUtente>-Sentinel Area di lavoro di Log Analytics Area di lavoro Log Analytics usata da Microsoft Sentinel, con il nome scelto per l'area di lavoro. simple-vmNetworkInterface Interfaccia di rete Interfaccia di rete per la macchina virtuale. SecurityInsights(<nomeUtente>-Sentinel) Soluzione Informazioni dettagliate sulla sicurezza per Microsoft Sentinel. st1<xxxxx> Account di archiviazione Account di archiviazione usato dalla macchina virtuale, dove <xxxxx> rappresenta una stringa casuale generata per creare un nome di account di archiviazione univoco. simple-vm Macchina virtuale (VM) Macchina virtuale da usare nella dimostrazione. vnet1 Rete virtuale Rete virtuale per la macchina virtuale.
Configurare il connettore di Microsoft Sentinel
Distribuire quindi il connettore del log attività di Azure per Microsoft Sentinel.
- Nel portale di Azure cercare e selezionare Microsoft Sentinel.
- Nella pagina Microsoft Sentinel selezionare l'area di lavoro di Microsoft Sentinel creata.
- Nella pagina dell'area di lavoro selezionare Connettori dati in Configurazione nel menu a sinistra.
- Nella pagina Connettori dati cercare e selezionare Attività di Azure e quindi selezionare Apri connettore nella schermata Attività di Azure .
- Nella parte inferiore della pagina Attività di Azure, seleziona Avvia procedura guidata di assegnazione criteri di Azure.
- Nella scheda Informazioni di base della procedura guidata selezionare i puntini di sospensione ... in Ambito. Nel riquadro Ambiti, selezionare la sottoscrizione e quindi fare clic su Seleziona.
- Selezionare la scheda Parametri e scegliere l'area di lavoro di Microsoft Sentinel dall'elenco a discesa Area di lavoro Log Analytics primaria .
- Selezionare la scheda Correzione e selezionare la casella di controllo Crea un'attività di correzione . Questa azione applica la configurazione della sottoscrizione per inviare le informazioni all'area di lavoro Log Analytics.
- Selezionare il pulsante Rivedi e crea per esaminare la configurazione e quindi selezionare Crea.
Il connettore attività di Azure potrebbe richiedere fino a un'ora per visualizzare lo stato Connesso. Durante la distribuzione del connettore, continuare con le unità seguenti per ottenere informazioni sugli eventi imprevisti in Microsoft Sentinel.