Dołączanie serwerów z obsługą usługi Azure Arc do usługi Microsoft Sentinel
Ten artykuł ma ułatwić dołączanie serwera z obsługą usługi Azure Arc do usługi Microsoft Sentinel i rozpoczynanie zbierania zdarzeń związanych z zabezpieczeniami. Usługa Microsoft Sentinel udostępnia jedno rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia w całym przedsiębiorstwie.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że zostały spełnione następujące wymagania:
Obszar roboczy usługi Log Analytics. Aby uzyskać więcej informacji na temat obszarów roboczych usługi Log Analytics, zobacz Projektowanie wdrożenia dzienników usługi Azure Monitor.
Usługa Microsoft Sentinel włączona w ramach subskrypcji.
Maszyna lub serwer jest połączony z serwerami z obsługą usługi Azure Arc.
Dołączanie serwerów z obsługą usługi Azure Arc do usługi Microsoft Sentinel
Usługa Microsoft Sentinel zawiera wiele łączników dla rozwiązań firmy Microsoft, dostępnych obecnie i zapewniających integrację w czasie rzeczywistym. W przypadku maszyn fizycznych i wirtualnych można zainstalować agenta usługi Log Analytics, który zbiera dzienniki i przekazuje je do usługi Microsoft Sentinel. Serwery z obsługą usługi Azure Arc obsługują wdrażanie agenta usługi Log Analytics przy użyciu następujących metod:
Korzystanie z platformy rozszerzeń maszyn wirtualnych.
Ta funkcja na serwerach z obsługą usługi Azure Arc umożliwia wdrożenie rozszerzenia maszyny wirtualnej agenta usługi Log Analytics na serwerze z systemem Windows i/lub Linux spoza platformy Azure. Rozszerzenia maszyn wirtualnych można zarządzać przy użyciu następujących metod na maszynach hybrydowych lub serwerach zarządzanych przez serwery z obsługą usługi Azure Arc:
- Azure Portal
- Interfejs wiersza polecenia platformy Azure
- Azure PowerShell
- Szablony usługi Azure Resource Manager
Korzystanie z usługi Azure Policy.
Korzystając z tego podejścia, należy użyć agenta usługi Log Analytics w usłudze Azure Policy w systemie Linux lub maszynach usługi Azure Arc wbudowanych w celu przeprowadzenia inspekcji, czy serwer z włączoną usługą Azure Arc ma zainstalowanego agenta usługi Log Analytics. Jeśli agent nie jest zainstalowany, automatycznie wdraża go przy użyciu zadania korygowania. Alternatywnie, jeśli planujesz monitorować maszyny przy użyciu Azure Monitor dla maszyn wirtualnych, zamiast tego użyj inicjatywy Włącz Azure Monitor dla maszyn wirtualnych, aby zainstalować i skonfigurować agenta usługi Log Analytics.
Zalecamy zainstalowanie agenta usługi Log Analytics dla systemu Windows lub Linux przy użyciu usługi Azure Policy.
Po nawiązaniu połączenia z serwerami z obsługą usługi Arc dane zaczynają przesyłać strumieniowo do usługi Microsoft Sentinel i są gotowe do rozpoczęcia pracy. Dzienniki można wyświetlić we wbudowanych skoroszytach i rozpocząć tworzenie zapytań w usłudze Log Analytics, aby zbadać dane.
Następne kroki
Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.