简介

已完成

部署 Microsoft Sentinel 并将其连接到数据源,以提供对整个企业的安全警报的实时分析。

Contoso 有限公司是伦敦一家中型金融服务公司,分公司位于纽约市。 Contoso 使用 Microsoft 365、Azure Active Directory (Azure AD)、Azure AD 标识保护、Defender for Cloud Apps、Azure 高级威胁防护 (Azure ATP)、Microsoft Defender 高级威胁防护 (Microsoft Defender ATP)、Microsoft Office 365 高级威胁防护、Intune 和 Microsoft Azure 信息保护。

Contoso 使用 Microsoft Defender for Cloud 的免费云安全态势管理功能。 但是,Contoso 计划移动到标准付费版本,以便为在 Azure 和本地上运行的资源获得威胁防护。 该公司还有其他非 Microsoft 资产需要监视和保护。

Contoso 的安全分析师面临巨大的会审压力。 他们处理来自多个产品的大量警报。 他们通过下列方式关联警报:

  • 从不同的产品仪表板手动关联
  • 通过使用传统的关联引擎

此外,设置和维护 IT 基础结构所用的时间使安全操作 (SecOps) 团队失去了其安全任务。

IT 主管认为,Microsoft Sentinel 将帮助安全分析师更快地执行复杂的调查并改进其 SecOps。

作为 Contoso 的主要系统工程师和 Azure 管理员,你需要设置概念验证试用环境。 此试用版将验证 Microsoft Sentinel 能否帮助 Contoso SecOps 团队在网络攻击造成伤害之前有效地识别和阻止它们。

在本模块中,你将了解 Microsoft Sentinel 部署注意事项,包括:

  • 角色和权限的配置
  • 数据源与 Microsoft Sentinel 的连接
  • Microsoft Sentinel 日志数据的管理

学习目标

完成此模块后,你将能够:

  • 启用 Microsoft Sentinel。
  • 将连接器从 Microsoft Sentinel 部署到要监视的服务。
  • 管理连接器收集的 Microsoft Sentinel 日志数据。

先决条件

若要从此模块获取最佳学习体验,你应该能够:

  • 执行基本的 Azure 管理。
  • 使用 Azure Monitor 和 Azure Monitor Log Analytics。