Oefening: gegevens opvragen en visualiseren met Microsoft Sentinel-werkmappen

  • 10 minuten

Deze query en visualiseer gegevensoefening is een optionele eenheid. Als u deze oefening wilt uitvoeren, hebt u toegang nodig tot een Azure-abonnement waar u Azure-resources kunt maken. Als je geen Azure-abonnement hebt, maak dan een gratis account aan voordat je begint.

Opmerking

Als u ervoor kiest om de oefening in deze module uit te voeren, moet u er rekening mee houden dat er mogelijk kosten in rekening worden gebracht in uw Azure-abonnement. Als u een schatting wilt maken van de kosten, raadpleegt u de prijzen van Microsoft Sentinel.

Voer de volgende taken uit om de vereisten voor de oefening te implementeren.

Taak 1: Resources maken

  1. Selecteer de volgende koppeling:

    Implementeren in Azure.

    U wordt gevraagd om u aan te melden bij Azure.

  2. Geef op de pagina Aangepaste implementatie de volgende informatie op:

    Naam Beschrijving
    Abonnement Selecteer uw Azure-abonnement.
    Bronnengroep Selecteer Nieuwe maken en geef een naam op voor de resourcegroep, zoals azure-sentinel-rg.
    Regio Selecteer in de vervolgkeuzelijst de locatie waar u Microsoft Sentinel wilt implementeren.
    Werkruimte naam Geef een unieke naam op voor de Microsoft Sentinel-werkruimte, zoals <yourName-sentinel>.
    Locatie Accepteer de standaardwaarde van [resourceGroup().location].
    Simplevm-naam Accepteer de standaardwaarde van simple-vm.
    Simplevm Windows-besturingssysteem versie Accepteer de standaardwaarde van 2022-Datacenter.

  3. Selecteer Beoordelen en maken en selecteer vervolgens Maken.

    Schermopname van de pagina Aangepaste implementatie.

    Opmerking

    Wacht tot de implementatie is voltooid. De implementatie duurt minder dan 5 minuten.

Taak 2: De gemaakte resources controleren

  1. Zoek in Azure Portal naar resourcegroepen.

  2. Selecteer azure-sentinel-rg.

  3. Sorteer de lijst met resources op type.

  4. Als het goed is, bevat de resourcegroep de resources in de volgende tabel.

    Naam Typologie Beschrijving
    <yourName-sentinel> Log Analytics-werkruimte Log Analytics-werkruimte die wordt gebruikt door Microsoft Sentinel, met de naam van de werkruimte die u in de vorige taak hebt gekozen.
    simple-vmNetworkInterface Netwerkinterface Netwerkinterface voor de virtuele machine (VM).
    SecurityInsights (<yourName-sentinel>) Oplossing Beveiligingsinzichten voor Microsoft Sentinel.
    st1xxxxx Opslagaccount Opslagaccount dat wordt gebruikt door de virtuele machine. Met de willekeurige tekenreeks xxxxx wordt een unieke opslagaccountnaam gemaakt.
    simple-vm Virtuele machine Virtuele machine die in de demonstratie wordt gebruikt.
    vnet1 Virtueel netwerk Het virtuele netwerk voor de virtuele machine.

Opmerking

De hulpmiddelen en configuratie in deze oefening zijn vereist in de volgende oefening. Als u de volgende oefening wilt voltooien, verwijdert u deze resources niet.

Taak 3: Microsoft Sentinel-connectors configureren

In deze taak implementeert u een Microsoft Sentinel-connector in Azure-activiteit.

  1. Zoek en selecteer Microsoft Sentinel in Azure Portal. Selecteer de Microsoft Sentinel-werkruimte die u in de vorige taak hebt gemaakt.

  2. Op de pagina Microsoft Sentinel, in de menubalk onder Configuratie, selecteer gegevensconnectors.

  3. Zoek en selecteer Azure-activiteit in het deelvenster Gegevensconnectors.

  4. Selecteer in het detailvenster Connectorpagina openen.

    Schermopname van de pagina Microsoft Sentinel Data Connectors.

  5. Controleer in het scherm Azure-activiteit onder Instructies uw vereisten en volg vervolgens de configuratiestappen .

  6. Wanneer u de status Verbonden ontvangt, sluit u alle geopende panelen om terug te keren naar Microsoft Sentinel | Paneel Gegevensconnector .

Opmerking

Het implementeren van de connector voor Azure-activiteit kan 15 minuten duren. U kunt doorgaan met de rest van de stappen in de oefening en met de volgende eenheden in deze module.