Servidores ativados a bordo do Azure Arc para o Microsoft Sentinel

Concluído

A Tailwind Traders iniciou as suas máquinas em servidores ativados pelo Azure Arc e agora quer embarcar nesses servidores para o Microsoft Sentinel. Nesta Unidade, aprenderá a embarcar nos seus servidores ativados pelo Azure Arc para o Microsoft Sentinel. Em primeiro lugar, irá ligar o servidor ativado pelo Arco Azure a um espaço de trabalho log analytics. Em segundo lugar, irá ativar o Microsoft Sentinel neste espaço de trabalho.

Ligue o servidor ativado pelo Arco Azure a um espaço de trabalho de Log Analytics utilizando o Agente de Análise de Registo ou o Agente monitor Azure

Para máquinas físicas e virtuais, pode instalar o agente Log Analytics que recolhe os registos e os encaminha para o Microsoft Sentinel. Os servidores ativados pelo Arco azul suportam a implementação do agente Log Analytics utilizando os seguintes métodos:

  • Utilizando a estrutura de extensões VM, pode implementar a extensão VM do agente Log Analytics para um servidor windows e/ou Linux não-Azure. As extensões VM podem ser geridas utilizando os modelos portal do Azure, Azure CLI, Azure PowerShell e Azure Resource Manager.
  • Utilizando Azure Policy, pode implementar o agente Log Analytics para máquinas Linux ou Windows Azure Arc para auditar se o servidor ativado pelo Arco Azure tiver o agente Log Analytics instalado. Se o agente não estiver instalado, implanta-o automaticamente utilizando uma tarefa de remediação. Também pode utilizar a Azure Policy incorporada para permitir a Azure Monitor para VMs iniciativa para instalar e configurar o agente Log Analytics.

Ativar o Microsoft Sentinel no espaço de trabalho do Log Analytics

  1. Do seu navegador, vá ao portal do Azure.

  2. Procure e selecione Microsoft Sentinel

    Selecione Microsoft Sentinel do Portal Azure

  3. Selecione Adicionar.

  4. Selecione o espaço de trabalho, ao qual o servidor ativado pelo Arco Azure está ligado. Pode executar o Microsoft Sentinel em mais de um espaço de trabalho, mas os dados estão isolados num único espaço de trabalho.  

    Adicione a solução Microsoft Sentinel ao log analytics workspace

  5. Selecione Adicionar Microsoft Sentinel.

Depois de os seus servidores ativados pelo Arc estarem ligados, os seus dados começam a ser transmitidos para o Microsoft Sentinel e estão prontos para começar a trabalhar. Você pode ver os registos nos livros embutidos e começar a construir consultas no Log Analytics para investigar os dados.