Integre servidores habilitados para Azure Arc ao Microsoft Sentinel

  • 4 minutos

A Tailwind Traders integrou suas máquinas a servidores habilitados para Azure Arc e agora quer integrar esses servidores ao Microsoft Sentinel. Nesta Unidade, você aprenderá como integrar seus servidores habilitados para Azure Arc ao Microsoft Sentinel. Primeiro, você conectará o servidor habilitado para Azure Arc a um espaço de trabalho do Log Analytics. Em segundo lugar, você habilitará o Microsoft Sentinel neste espaço de trabalho.

Conectar o servidor habilitado para Azure Arc a um espaço de trabalho do Log Analytics usando o Log Analytics Agent ou o Azure Monitor Agent

Para máquinas físicas e virtuais, você pode instalar o agente do Log Analytics, que coleta os logs e os encaminha para o Microsoft Sentinel. Os servidores habilitados para Azure Arc dão suporte à implantação do agente do Log Analytics usando os seguintes métodos:

  • Usando a estrutura de extensões de VM, você pode implantar a extensão de VM do agente do Log Analytics em um servidor Windows e/ou Linux que não seja do Azure. Você pode gerenciar extensões de VM usando o portal do Azure, a CLI do Azure, o Azure PowerShell e os modelos do Azure Resource Manager.
  • Usando a Política do Azure, você pode Implantar o agente do Log Analytics em máquinas Windows ou Linux Azure Arc para auditar se o servidor habilitado para Azure Arc tiver o agente do Log Analytics instalado. Se o agente não estiver instalado, ele o implantará automaticamente usando uma tarefa de correção. Você também pode usar a política interna do Azure para habilitar a iniciativa Azure Monitor for VMs para instalar e configurar o agente do Log Analytics.

Habilite o Microsoft Sentinel no espaço de trabalho do Log Analytics

  1. No browser, aceda ao portal do Azure.

  2. Procure e selecione Microsoft Sentinel.

    Screenshot of Microsoft Sentinel selection in the Azure portal.

  3. Selecione Adicionar.

  4. Selecione o espaço de trabalho ao qual o servidor habilitado para Azure Arc está conectado. Você pode executar o Microsoft Sentinel em mais de um espaço de trabalho, mas os dados são isolados em um único espaço de trabalho.  

    Screenshot of adding Microsoft Sentinel solution to the Log Analytics workspace.

  5. Selecione Adicionar Microsoft Sentinel.

Depois que seus servidores habilitados para Arc estiverem conectados, seus dados começarão a ser transmitidos para o Microsoft Sentinel e estarão prontos para você começar a trabalhar. Você pode exibir os logs nas pastas de trabalho internas e começar a criar consultas no Log Analytics para investigar os dados.