Введение
Вам нужно подключить устройства Windows к рабочей области Microsoft Sentinel с помощью предоставленных соединителей данных. Соединитель предлагает параметры для управления событиями, которые нужно собирать.
Вы — аналитик по информационной безопасности и работаете в компании, которая внедрила Microsoft Sentinel. Вам необходимо выполнять сбор данных журналов событий с узлов Windows. Узлы можно размещать в локальной среде или в качестве виртуальных машин в Azure.
Ваша команда информационной безопасности полагается на данные событий, созданные средством «Системный монитор», установленным на некоторых из узлов Windows. Вы настроите узлы Windows для отправки данных событий в Microsoft Sentinel. Кроме того, необходимо убедиться, что события Системного монитора доступны для использования в правилах обнаружения.
Пройдя этот модуль, вы сможете подключать устройства Windows к рабочей области Microsoft Sentinel с помощью предоставленного соединителя данных.
По завершении этого модуля вы сможете:
- Подключение Виртуальных машин Windows Azure к Microsoft Sentinel
- Подключение узлов Windows, не относящихся к Azure, к Microsoft Sentinel
- Настраивать агент Log Analytics для сбора событий Системного монитора.
Необходимые компоненты
Базовые знания о концепциях функционирования, таких как мониторинг, ведение журнала и предупреждения.