Упражнение. Настройка среды Azure

  • 20 мин

Чтобы настроить среду Azure для необязательного упражнения по управлению инцидентами, выполните следующие действия.

Необходимые компоненты

Чтобы выполнить это необязательное упражнение, вам потребуется доступ к подписке Azure. Если у вас нет подписки, создайте бесплатную учетную запись.

Примечание.

Помните, что это упражнение создает ресурсы, которые могут нести расходы в подписке Azure. Чтобы оценить затраты, см. цены на Microsoft Sentinel.

Разверните шаблон Azure Resource Manager.

  1. Нажмите следующую кнопку, чтобы развернуть шаблон Azure Resource Manager (ARM), который создает ресурсы Azure. При появлении запроса войдите в Azure.

    Deploy To Azure.

  2. На странице Настраиваемое развертывание укажите следующие сведения.

    • Подписка. Выберите подписку Azure, если она еще не выбрана.
    • Группа ресурсов: выберите "Создать" и назовите группу ресурсов azure-sentinel-rg.
    • Расположение. Выберите регион Azure, в котором требуется развернуть Microsoft Sentinel.
    • Имя рабочей области: укажите уникальное имя рабочей области Microsoft Sentinel, например <yourName-Sentinel>.

  3. Оставьте другие параметры как есть, выберите "Просмотр и создание", а затем нажмите кнопку "Создать".

Дождитесь завершения развертывания. Развертывание займет менее пяти минут.

Проверка развернутых ресурсов

  1. По завершении развертывания выберите "Перейти к группе ресурсов" или найдите группы ресурсов на портале и выберите azure-sentinel-rg.

  2. На странице azure-sentinel-rg отсортируйте список ресурсов по типу.

  3. Убедитесь, что группа ресурсов содержит следующие ресурсы:

    Имя. Тип Описание
    <yourName-Sentinel> Рабочая область Log Analytics Рабочая область Log Analytics, которую использует Microsoft Sentinel, с именем, выбранным для рабочей области.
    simple-vmNetworkInterface Сетевой интерфейс Сетевой интерфейс для виртуальной машины.
    Безопасность Аналитика(<yourName-Sentinel>) Решение Аналитика безопасности для Microsoft Sentinel.
    st1<xxxxx> Storage account Учетная запись хранения, используемая виртуальной машиной, где <xxxxx> — это случайная строка, сгенерированная, чтобы создать уникальное имя для учетной записи хранения.
    simple-vm Виртуальная машина (виртуальная машина) Виртуальная машина для использования в демонстрации.
    vnet1 Виртуальная сеть Виртуальная сеть для виртуальной машины.

Настройка соединителя Microsoft Sentinel

Затем разверните соединитель журнала действий Azure для Microsoft Sentinel.

  1. На портале Microsoft Azure найдите и выберите Microsoft Sentinel.
  2. На странице Microsoft Sentinel выберите созданную рабочую область Microsoft Sentinel.
  3. На странице рабочей области выберите соединители данных в разделе "Конфигурация " в меню слева.
  4. На странице соединителей данных найдите и выберите действие Azure, а затем выберите страницу "Открыть соединитель" на экране действия Azure.
  5. В нижней части страницы действий Azure выберите мастер запуска Политика Azure назначения.
  6. На вкладке "Основы" мастера выберите многоточие ... в разделе "Область". На панели "Области" выберите подписку и нажмите кнопку "Выбрать".
  7. Выберите вкладку "Параметры" и выберите рабочую область Microsoft Sentinel в раскрывающемся списке основной рабочей области Log Analytics.
  8. Перейдите на вкладку "Исправление" и выберите команду "Создать задачу исправления" проверка box. Это действие применяет конфигурацию подписки для отправки сведений в рабочую область Log Analytics.
  9. Нажмите кнопку "Просмотр и создание ", чтобы просмотреть конфигурацию, а затем нажмите кнопку "Создать".

Соединитель действий Azure может занять до часа, чтобы отобразить состояние Подключение. Во время развертывания соединителя перейдите к следующим урокам, чтобы узнать об инцидентах в Microsoft Sentinel.