Eseguire l'onboarding dei server abilitati per Azure Arc in Microsoft Sentinel

  • 4 minuti

Tailwind Traders ha eseguito l'onboarding dei computer in server abilitati per Azure Arc e ora vuole eseguire l'onboarding di tali server in Microsoft Sentinel. In questa unità si apprenderà come eseguire l'onboarding di server abilitati per Azure Arc in Microsoft Sentinel. Prima di tutto, si connetterà il server abilitato per Azure Arc a un'area di lavoro Log Analytics. In secondo luogo, si abiliterà Microsoft Sentinel in questa area di lavoro.

Connettere il server abilitato per Azure Arc a un'area di lavoro Log Analytics usando l'agente di Log Analytics o l'agente di Monitoraggio di Azure

Per i computer fisici e le macchine virtuali, è possibile installare l'agente di Log Analytics che raccoglie i log e li inoltra ad Azure Sentinel. I server abilitati per Azure Arc supportano la distribuzione dell'agente di Log Analytics usando i metodi seguenti:

  • Usando il framework delle estensioni delle macchine virtuali, è possibile distribuire l'estensione della macchina virtuale dell'agente di Log Analytics in un server non Azure Windows e/o Linux. Le estensioni delle macchine virtuali possono essere gestite tramite il portale di Azure, l'interfaccia della riga di comando di Azure, Azure PowerShell e modelli di Resource Manager.
  • Con Criteri di Azure è possibile distribuire l'agente di Log Analytics in computer Azure Arc Linux o Windows per controllare se nel server abilitato per Azure Arc è installato l'agente di Log Analytics. Se l'agente non è installato, viene distribuito automaticamente usando un'attività di correzione. È anche possibile usare Criteri di Azure predefiniti per abilitare l'iniziativa di Monitoraggio di Azure per le macchine virtuali per installare e configurare l'agente di Log Analytics.

Abilitare Microsoft Sentinel nell'area di lavoro Log Analytics

  1. Nel browser passare al portale di Azure.

  2. Cercare e selezionare Microsoft Sentinel.

    Screenshot of Microsoft Sentinel selection in the Azure portal.

  3. Selezionare Aggiungi.

  4. Selezionare l'area di lavoro a cui è connesso il server abilitato per Azure Arc. È possibile eseguire Microsoft Sentinel in più di un'area di lavoro, ma i dati sono isolati in una singola area di lavoro.  

    Screenshot of adding Microsoft Sentinel solution to the Log Analytics workspace.

  5. Selezionare Aggiungi Microsoft Sentinel.

Dopo avere connesso i server abilitati per Arc, viene avviato il flusso dei dati in Microsoft Sentinel ed è possibile iniziare a usarli. È possibile visualizzare i log nelle cartelle di lavoro predefinite e iniziare a creare le query in Log Analytics per esaminare i dati.