Подключение серверов с поддержкой Azure Arc к Microsoft Sentinel

Эта статья поможет вам подключить сервер с поддержкой Azure Arc к Microsoft Sentinel и начать сбор событий, связанных с безопасностью. Microsoft Sentinel предоставляет единое решение для обнаружения оповещений, видимости угроз, упреждающей охоты и реагирования на угрозы на предприятии.

Необходимые компоненты

Прежде чем продолжить, ознакомьтесь со следующими требованиями.

• Рабочая область Log Analytics. Дополнительные сведения о рабочих областях Log Analytics см. в статье Designing your Azure Monitor Logs deployment (Планирование развертывания журналов Azure Monitor).

• Microsoft Sentinel включена в подписке.

• Компьютер или сервер подключены к серверам с поддержкой Azure Arc.

Подключение серверов с поддержкой Azure Arc к Microsoft Sentinel

Вместе с Microsoft Sentinel предлагается ряд готовых и обеспечивающих интеграцию в режиме реального времени соединителей для решений Майкрософт. На физических и виртуальных машинах можно установить агент Log Analytics, который собирает журналы и перенаправляет их в Microsoft Sentinel. Серверы с поддержкой Azure Arc поддерживают развертывание агента Log Analytics с помощью следующих методов:

• Использование платформы расширений виртуальной машины.

  Эта функция на серверах с поддержкой Azure Arc позволяет развернуть расширение виртуальной машины для агента Log Analytics на сервере Windows и (или) Linux, размещенном вне Azure. Расширения виртуальных машин можно управлять с помощью следующих методов на гибридных компьютерах или серверах, управляемых серверами с поддержкой Azure Arc:

  • портал Azure.
  • Интерфейс командной строки Azure
  • Azure PowerShell
  • Шаблоны Azure Resource Manager

• Использование Политики Azure.

  С помощью этого подхода вы используете агент Log Analytics Политика Azure развертывать агент Log Analytics на компьютерах Linux или Windows Azure Arc, встроенных в политику для аудита, если на сервере с поддержкой Azure Arc установлен агент Log Analytics. Если агент не установлен, она автоматически развертывает его с помощью задачи исправления. Кроме того, если вы планируете отслеживать компьютеры с помощью Azure Monitor для виртуальных машин, используйте инициативу Включение Azure Monitor для виртуальных машин, чтобы установить и настроить агент Log Analytics.

Мы рекомендуем установить агент Log Analytics для Windows или Linux с помощью Политики Azure.

После подключения серверов с поддержкой Arc начнется потоковая передача данных в Microsoft Sentinel, и они будут готовы к началу работы. Журналы можно просмотреть во встроенных книгах. Затем вы можете приступить к исследованию данных, создав запросы в Log Analytics.

Следующие шаги

Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.