Настройка упражнения
Для выполнения необязательного упражнения необходим доступ к подписке Azure, в которой можно создавать ресурсы Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Примечание.
При выполнении упражнений в этом модуле в подписке Azure за это может взиматься плата. Чтобы оценить затраты, см. цены на Microsoft Sentinel.
Чтобы развернуть необходимые компоненты для упражнения, выполните следующие задачи.
Развертывание шаблона Azure Resource Manager для среды упражнения
Выберите следующую ссылку:
Вам будет предложено войти в Azure.
На странице Настраиваемое развертывание укажите следующие сведения.
Имя Описание Подписка Выберите свою подписку Azure. Группа ресурсов Выберите Создать и укажите имя новой группы ресурсов, например azure-sentinel-rg.Регион Выберите регион Azure. Имя рабочей области Укажите уникальное имя для рабочей области Microsoft Sentinel, например <yourName>-sentinel, где <yourName> — имя рабочей области, выбранное в предыдущей задаче.Местонахождение Примите значение по умолчанию [resourceGroup().location]. Имя simplevm Примите значение по умолчанию simple-vm. Версия ОС Windows simplevm. Примите значение по умолчанию 2016-Datacenter. Выберите Проверить и создать, а затем выберите Создать.
Примечание.
Дождитесь завершения развертывания. Развертывание займет менее пяти минут.
Проверка созданных ресурсов
На портале Azure найдите Группы ресурсов.
Выберите группу ресурсов.
Отсортируйте список ресурсов по типу.
Группа ресурсов должна содержать ресурсы, указанные в этой таблице.
Имя. Тип Описание <yourName>-sentinelРабочая область Log Analytics Рабочая область Log Analytics, используемая Microsoft Sentinel, где <yourName> — имя рабочей области, выбранное в предыдущей задаче. simple-vmNetworkInterfaceСетевой интерфейс Сетевой интерфейс для виртуальной машины. SecurityInsights(<yourName>-sentinel)Решение Аналитика безопасности для Microsoft Sentinel. simple-vmВиртуальная машина Виртуальная машина, используемая в демонстрации. st1<xxxxx>Storage account Учетная запись хранения, используемая виртуальной машиной, где <xxxxx> — это случайная строка, сгенерированная для создания уникального имени учетной записи хранения. vnet1Виртуальная сеть Виртуальная сеть для виртуальной машины.
Настройка соединителей Microsoft Sentinel
В этой задаче вы развернете соединитель Microsoft Sentinel в действии Azure.
- На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите ранее созданную рабочую область Microsoft Sentinel.
- На странице Microsoft Sentinel в строке меню в разделе Конфигурация выберите Соединители данных.
- В области Соединители данных найдите и выберите элемент Azure Activity (Журнал действий Azure). На панели сведений выберите страницу "Открыть соединитель".
- Ознакомьтесь с предварительными требованиями. Необходимо назначить роль владельца для Политика Azure назначений область.
- Если у вас есть подписка, подключенная к устаревшему методу, вы будете перенаправлены на отключение, используя инструкции по настройке для "1". Отключите подписки от устаревшего метода.
- Если у вас нет соединителя, настроенного с помощью устаревшего метода, перейдите к параметру "2". Подключение подписки..." в области конфигурации.
- Выберите мастер> запуска Политика Azure назначения.
- На вкладке "Основные сведения " нажмите кнопку с многоточием (...) в разделе "Область " и выберите подписку в раскрывающемся списке. Затем выберите Выбрать.
- Выберите вкладку "Параметры" , выберите рабочую область uniquename-sentinel в раскрывающемся списке основной рабочей области Log Analytics.
- Перейдите на вкладку "Исправление" и проверка поле задачи "Создать исправление".
- Нажмите кнопку "Просмотр и создание", чтобы проверить конфигурацию.
- Нажмите кнопку "Создать ", чтобы завершить работу.
Примечание.
Соединитель для действия Azure использует назначения политик, поэтому для отображения состояния Подключение может потребоваться от 15 до 30 минут.