练习 - 使用 Microsoft Sentinel 分析来检测威胁
本模块中的“使用 Microsoft Sentinel 分析进行威胁检测”练习为可选单元。 不过,如果要进行此练习,需要访问 Azure 订阅,可以在其中创建 Azure 资源。 如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
若要部署练习的先决条件,请执行以下任务。
注意
如果选择执行本模块中的练习,请注意,可能会产生 Azure 订阅费用。 若要估算成本,请参阅 Microsoft Sentinel 定价。
任务 1:使用 ARM 模板部署 Microsoft Sentinel
选择以下链接:
系统将提示你登录到 Azure。 此时将显示“自定义部署”窗格。
在“基本信息”选项卡上,为每个设置输入以下值。
设置 值 项目详细信息 订阅 选择 Azure 订阅。 资源组 选择“新建”,并为新资源组提供一个名称,例如 azure-sentinel-rg
。实例详细信息 区域 从下拉列表中,选择要部署 Microsoft Sentinel 的位置。 工作区名称 为 Microsoft Sentinel 工作区提供一个唯一名称,例如 <yourName>-sentinel
,其中 <yourName> 表示在上一个任务中选择的工作区名称。位置 接受默认值 [resourceGroup().location]。 Simplevm 名称 接受默认值 simple-vm。 Simplevm Windows OS 版本 接受默认值 2016-Datacenter。 选择“查看 + 创建”。 验证通过后,选择“创建”。
注意
等待部署完成。 部署时间应不超过五分钟。
任务 2:检查创建的资源
在 Azure 门户中,搜索“资源组”。
选择“azure-sentinel-rg”。
按“类型”对资源列表进行排序。
资源组应包含下表列出的资源。
名称 Type 说明 <yourName>-sentinel
Log Analytics 工作区 Microsoft Sentinel 使用的 Log Analytics 工作区,其中 <yourName> 表示在上一任务中选择的工作区名称。 simple-vmNetworkInterface
Linux VM 的网络接口。 SecurityInsights(<yourName>-sentinel)
解决方案 Microsoft Sentinel 的安全见解。 simple-vm
虚拟机 演示中使用的虚拟机 (VM)。 st1<xxxxx>
存储帐户 VM 使用的存储帐户,其中 <xxxxx> 表示为创建唯一存储帐户名称而生成的随机字符串。 vnet1
虚拟网络 VM 的虚拟网络。
注意
在本练习中部署的资源和完成的配置步骤在下一练习中是必需的。 如果打算完成下一个练习,请不要删除本练习中的资源。
任务 3:配置 Microsoft Sentinel 数据连接器
在此任务中,要部署 Microsoft Sentinel 数据连接器以检测 Azure 活动。
在 Azure 门户中,选择“主页”,然后搜索并选择“Microsoft Sentinel”。
在 Sentinel 工作区名称列表中,选择在任务 2 中创建的 Microsoft Sentinel 工作区。 Sentinel 工作区的“概述”窗格随即出现。
在菜单窗格中的“内容管理”下,选择“内容中心”。 此时会显示“内容中心”窗格。
在“搜索”框中,搜索并选择“Azure 活动”解决方案。 在“Azure 活动”详细信息窗格中,选择“安装”。
等待安装完成,然后选择“管理”。
在“搜索”框中,搜索并选择“Azure 活动”数据连接器。
在“Azure 活动”详细信息窗格中,选择“打开连接器”页。
在“说明”选项卡的“配置”区域中向下滚动,在“2. 连接订阅...”下选择“启动 Azure Policy 分配向导”。
在“基本信息”选项卡中,选择“范围”下的省略号按钮 (...),并从下拉列表中选择你的“Azure 订阅”,然后选择“选择”。
选择“参数”选项卡,从“主要 Log Analytics 工作区”下拉列表中选择“yourName-sentinel”工作区。
选择“修正”选项卡,然后选择“创建修正任务”复选框 。 此操作通过应用订阅配置将信息发送到 Log Analytics 工作区。
注意
要将策略应用于现有资源,需要创建修正任务。
选择“查看 + 创建”按钮,检查配置。
选择“创建”以完成操作。
部署完成后,“配置/数据连接器”窗格中 Azure 活动连接器的状态显示为“连接”(绿条)。
注意
Azure 活动的连接器可能需要 15 分钟才能在 Microsoft Sentinel 中显示“已连接”。 可以继续执行其余步骤并完成本模块的其他单元。