Azure Arc 対応サーバーを Microsoft Sentinel にオンボードする
Tailwind Traders は、マシンを Azure Arc 対応サーバーにオンボードしました。今度は、それらのサーバーを Microsoft Sentinel にオンボードしようとしています。 このユニットでは、Azure Arc 対応サーバーを Microsoft Sentinel にオンボードする方法について学習します。 最初に、Azure Arc 対応サーバーを Log Analytics ワークスペースに接続します。 次に、このワークスペース上で、Microsoft Sentinel を有効にします。
Log Analytics エージェントまたは Azure Monitor エージェントを使用して Azure Arc 対応サーバーを Log Analytics ワークスペースに接続する
物理マシンと仮想マシンの場合は Log Analytics エージェントをインストールし、これを使ってログを収集して Microsoft Sentinel に転送することができます。 Azure Arc 対応サーバーは、以下の方法を使用した Log Analytics エージェントのデプロイをサポートしています。
- VM 拡張機能フレームワークを使用すると、Log Analytics エージェント VM 拡張機能を、Azure 以外の Windows サーバーや Linux サーバーにデプロイすることができます。 VM 拡張機能は、Azure portal、Azure CLI、Azure PowerShell、Azure Resource Manager テンプレートを使って管理することができます。
- Azure Policy を使うと、Log Analytics エージェントを Windows または Linux の Azure Arc 対応マシンにデプロイして、Azure Arc 対応サーバーに Log Analytics エージェントがインストールされているかどうかを監査することができます。 エージェントがインストールされていない場合は、修復タスクを使用して自動的にそれがデプロイされます。 また、組み込みの Azure Policy を使用して、Azure Monitor for VM イニシアチブを有効にし、Log Analytics エージェントをインストールおよび構成することもできます。
Log Analytics ワークスペースで Microsoft Sentinel を有効にする
お使いのブラウザーで Azure portal に移動します。
Microsoft Sentinel を検索して選択します。
[追加] を選択します。
Azure Arc 対応サーバーの接続先となるワークスペースを選びます。 複数のワークスペースで Microsoft Sentinel を実行できますが、データは 1 つのワークスペースに分離されます。
[Microsoft Sentinel の追加] を選びます。
Arc 対応サーバーが接続されると、Microsoft Sentinel へのデータのストリーミングが開始され、操作を開始する準備が整います。 組み込みのブックでログを表示したり、Log Analytics でクエリを作成してデータを調査したりできます。