Azure Arc 지원 서버를 Microsoft Sentinel에 온보딩

  • 4분

Tailwind Traders는 Azure Arc 지원 서버에 머신을 온보딩했으며 이제 해당 서버를 Microsoft Sentinel에 온보딩하려고 합니다. 이 단원에서는 Azure Arc 지원 서버를 Microsoft Sentinel에 온보딩하는 방법을 알아봅니다. 먼저 Azure Arc 지원 서버를 Log Analytics 작업 영역에 연결합니다. 둘째, 이 작업 영역에서 Microsoft Sentinel을 사용하도록 설정합니다.

Log Analytics 에이전트 또는 Azure Monitor 에이전트를 사용하여 Azure Arc 지원 서버를 Log Analytics 작업 영역에 연결

실제 및 가상 머신의 경우 로그를 수집하고 Microsoft Sentinel에 전달하는 Log Analytics 에이전트를 설치할 수 있습니다. Azure Arc 지원 서버는 다음 방법을 사용하여 Log Analytics 에이전트 배포를 지원합니다.

  • VM 확장 프레임워크를 사용하여 비Azure Windows 및/또는 Linux 서버에 Log Analytics 에이전트 VM 확장을 배포할 수 있습니다. Azure Portal, Azure CLI, Azure PowerShell 및 Azure Resource Manager 템플릿을 사용하여 VM 확장을 관리할 수 있습니다.
  • Azure Policy를 사용하여 Windows 또는 Linux Azure Arc 머신에 Log Analytics 에이전트를 배포하면 Azure Arc 지원 서버에 Log Analytics 에이전트가 설치되어 있는지 감사할 수 있습니다. 에이전트가 설치되지 않은 경우 수정 작업을 사용하여 자동으로 배포합니다. VM용 Azure Monitor 사용 이니셔티브에 대한 기본 제공 Azure Policy를 사용하여 Log Analytics 에이전트를 설치하고 구성할 수도 있습니다.

Log Analytics 작업 영역에서 Microsoft Sentinel 사용

  1. 브라우저에서 Azure Portal로 이동합니다.

  2. Microsoft Sentinel을 검색하여 선택합니다.

    Screenshot of Microsoft Sentinel selection in the Azure portal.

  3. 추가를 선택합니다.

  4. Azure Arc 지원 서버가 연결된 작업 영역을 선택합니다. 둘 이상의 작업 영역에서 Microsoft Sentinel을 실행할 수 있지만 데이터는 단일 작업 영역으로 격리됩니다.  

    Screenshot of adding Microsoft Sentinel solution to the Log Analytics workspace.

  5. Microsoft Sentinel 추가를 선택합니다.

Arc 지원 서버가 연결된 후 데이터가 Microsoft Sentinel로 스트림되기 시작하고 작업을 시작할 수 있습니다. 기본 제공 통합 문서에서 로그를 확인하고 Log Analytics에서 쿼리를 작성하여 데이터를 조사할 수 있습니다.