将已启用 Azure Arc 的服务器载入 Microsoft Sentinel

  • 4 分钟

Tailwind Traders 已将其计算机加入已启用 Azure Arc 的服务器,现在想要将这些服务器加入到 Microsoft Sentinel。 在本单元中,你将了解如何将已启用 Azure Arc 的服务器载入到 Microsoft Sentinel。 首先,将已启用 Azure Arc 的服务器连接到 Log Analytics 工作区。 其次,在此工作区上启用 Microsoft Sentinel。

部署 Azure Monitor 代理

Azure Monitor 代理可以将信息转发到 Microsoft Sentinel。

可以通过安装 Azure Monitor 代理扩展将 Azure Monitor 代理部署到已启用 Arc 的服务器。 这可以在每台计算机上单独完成,也可以通过 Azure Policy 或 Azure 自动化大规模完成。 有关详细信息,请参阅 已启用 Azure Arc 的服务器上的 Azure Monitor 代理的部署选项

创建 Log Analytics 工作区

Microsoft Sentinel 必须添加到 Log Analytics 工作区。 如果还没有工作区,可以按照以下步骤创建一个工作区。

  1. 在 Azure 门户中,搜索并选择 Microsoft Sentinel
  2. 选择“ 创建新工作区”。
  3. 填写必填字段以创建新工作区,然后选择“ 查看 + 创建”。
  4. 验证通过后,选择“ 创建 ”并等待部署完成。

在 Log Analytics 工作区上启用 Microsoft Sentinel

  1. 在 Azure 门户中,搜索并选择 Microsoft Sentinel

    Azure 门户中 Microsoft Sentinel 选择的屏幕截图。

  2. 选择 创建

  3. 选择要使用的工作区,然后选择“ 添加”。 可以在多个工作区上运行 Microsoft Sentinel,但将数据隔离到单个工作区。

连接已启用 Arc 的服务器后,数据开始流式传输到 Microsoft Sentinel,并准备好供你开始使用。 可以在内置工作簿中查看日志,并开始在 Log Analytics 中生成查询以调查数据。