練習 - 使用 Microsoft Sentinel 活頁簿查詢及視覺化資料

  • 10 分鐘

此「查詢和視覺化資料」練習是選擇性單位。 如果想要執行此練習,您需要存取能夠建立 Azure 資源的 Azure 訂用帳戶。 如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

注意

請注意,如果選擇執行此課程模組中的練習,您的 Azure 訂用帳戶可能會產生費用。 若要預估成本,請參考 Microsoft Sentinel 價格

若要部署練習的先決條件,請執行下列工作。

工作 1:建立資源

  1. 選取下列連結:

    Deploy To Azure.

    系統會提示您登入 Azure。

  2. 在 [自訂部署] 頁面上,提供下列資訊:

    名稱 描述
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [建立新的] 並提供資源群組的名稱,例如 azure-sentinel-rg
    區域 從下拉式功能表中,選取要部署 Microsoft Sentinel 的位置。
    工作區名稱 提供 Microsoft Sentinel 工作區的唯一名稱,例如 <您的名稱>-sentinel
    Location 接受 [resourceGroup().location] 的預設值。
    Simplevm 名稱 接受 simple-vm 的預設值。
    Simplevm Windows OS 版本 接受 2016-Datacenter 的預設值。

  3. 選取 [檢閱 + 建立],然後選取 [建立]。

    Screenshot of the Custom Deployment page.

    注意

    等待部署完成。 部署應該不到 5 分鐘便能完成。

工作 2:檢查建立的資源

  1. 在 Azure 入口網站中,搜尋資源群組

  2. 選取 [azure-sentinel-rg]。

  3. 類型排序資源清單。

  4. 資源群組應該包含下表所列的資源。

    名稱 類型​​ 描述
    <您的名稱>-sentinel Log Analytics 工作區 Microsoft Sentinel 使用的 Log Analytics 工作區,名稱為您在前一個工作中選擇的工作區名稱。
    simple-vmNetworkInterface 網路介面 虛擬機器 (VM) 的網路介面。
    SecurityInsights(<您的名稱>-sentinel) 解決方案 適用於 Microsoft Sentinel 的安全性見解。
    st1xxxxx 儲存體帳戶 VM 使用的儲存體帳戶。 隨機字串 xxxxx 會建立唯一的儲存體帳戶名稱。
    simple-vm 虛擬機器 用於示範的虛擬機器。
    vnet1 虛擬網路 用於 VM 的虛擬網路。

注意

下個練習需要用到此練習中的資源和設定。 如果打算完成下個練習,請不要刪除這些資源。

工作 3:設定 Microsoft Sentinel 連接器

在此工作中,您會將 Microsoft Sentinel 連接器部署至 Azure 活動。

  1. 在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel]。 選取您在上一個工作中建立的 Microsoft Sentinel 工作區。

  2. 在 [Microsoft Sentinel] 頁面的功能表列中,選取 [設定] 下的 [資料連接器]。

  3. 在 [資料連接器] 窗格中,搜尋並選取 [Azure 活動]

  4. 在詳細資料窗格中,選取 [Open connector page] \(開啟連接器頁面\)。

    Screenshot of the Microsoft Sentinel Data connectors page.

  5. 在 [Azure 活動] 畫面的 [指示] 下,驗證您的必要條件,然後依設定步驟執行。

  6. 當您看見狀態為 [已連線] 時,請關閉所有開啟的面板以返回 [Microsoft Sentinel | 資料連接器] 面板。

注意

Azure 活動的連接器可能需要 15 分鐘的時間才能部署。 您可以繼續執行練習中的其餘步驟,並進行本課程模組中的後續單元。