Esercizio - Eseguire query e visualizzare i dati con cartelle di lavoro di Microsoft Sentinel
Questa esercizio di interrogazione e visualizzazione dei dati è un'unità facoltativa. Se si vuole eseguire questo esercizio, è necessario accedere a una sottoscrizione di Azure in cui è possibile creare risorse di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Annotazioni
Se si sceglie di eseguire l'esercizio in questo modulo, tenere presente che è possibile incorrere in costi nella sottoscrizione di Azure. Per stimare il costo, vedere Prezzi di Microsoft Sentinel.
Per distribuire i prerequisiti per l'esercizio, eseguire le attività seguenti.
Attività 1: Creare risorse
Selezionare il collegamento seguente:
Viene richiesto di accedere ad Azure.
Nella pagina Distribuzione personalizzata specificare le informazioni seguenti:
Nome Descrizione Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare Crea nuovo e specificare un nome per il gruppo di risorse, ad esempio azure-sentinel-rg. Area geografica Dal menu a discesa selezionare il percorso in cui si vuole distribuire Microsoft Sentinel. Nome area di lavoro Specificare un nome univoco per l'area di lavoro di Microsoft Sentinel, <ad esempio yourName-sentinel>. Posizione Accettare il valore predefinito [resourceGroup().location]. Nome Simplevm Accettare il valore predefinito simple-vm. Versione del sistema operativo Windows Simplevm Accettare il valore predefinito 2022-Datacenter. Seleziona Rivedi e crea e quindi seleziona Crea.
Annotazioni
Attendere il completamento della distribuzione. La distribuzione deve richiedere meno di 5 minuti.
Attività 2: Controllare le risorse create
Nel portale di Azure cercare Gruppi di risorse.
Selezionare azure-sentinel-rg.
Ordinare l'elenco di risorse in base al tipo.
Il gruppo di risorse dovrebbe contenere le risorse elencate nella tabella riportata di seguito.
Nome TIPO Descrizione <nomeUtente>-Sentinel Area di lavoro di Log Analytics Area di lavoro Log Analytics usata da Microsoft Sentinel, con il nome dell'area di lavoro scelto nell'attività precedente. simple-vmNetworkInterface Interfaccia di rete Interfaccia di rete per la macchina virtuale.Network Interface for the virtual machine (VM). SecurityInsights(<nomeutente>-sentinel) Soluzione Informazioni dettagliate sulla sicurezza per Microsoft Sentinel. st1xxxxx Account di archiviazione Account di archiviazione usato dalla macchina virtuale. La stringa casuale xxxxx crea un nome univoco dell'account di archiviazione. semplice-vm Macchina virtuale Macchina virtuale usata nella dimostrazione. vnet1 Rete virtuale Rete virtuale per la macchina virtuale.
Annotazioni
Le risorse e la configurazione in questo esercizio sono necessarie nell'esercizio successivo. Se si intende completare l'esercizio successivo, non eliminare queste risorse.
Attività 3: Configurare i connettori di Microsoft Sentinel
In questa attività si distribuisce un connettore di Microsoft Sentinel in Azure Activity.
Nel portale di Azure cercare e selezionare Microsoft Sentinel. Selezionare l'area di lavoro di Microsoft Sentinel creata nell'attività precedente.
Nella barra dei menu della pagina Microsoft Sentinel selezionare Connettori dati in Configurazione.
Nel riquadro Connettori dati cercare e selezionare Attività di Azure.
Nel riquadro dei dettagli selezionare Apri pagina del connettore.
Nella schermata Attività di Azure, sotto Istruzioni, verificare i Prerequisiti e quindi seguire i passaggi di Configurazione.
Quando si riceve lo stato Connesso, chiudere tutti i pannelli aperti per tornare a Microsoft Sentinel | Pannello connettore dati .
Annotazioni
La distribuzione del connettore per l'attività di Azure potrebbe richiedere 15 minuti. È possibile procedere con il resto dei passaggi dell'esercizio e con le unità successive in questo modulo.