将已启用 Azure Arc 的服务器加入到 Microsoft Sentinel
本文旨在帮助用户将已启用 Azure Arc 的服务器加入到 Microsoft Sentinel,并开始收集与安全相关的事件。 Microsoft Sentinel 为企业中的警报检测、威胁可见性、主动搜寻和威胁响应提供了单一解决方案。
先决条件
首先,请确保你已满足以下要求:
Log Analytics 工作区。 有关 Log Analytics 工作区的详细信息,请参阅设计 Azure 监视日志部署。
订阅中启用了 Microsoft Sentinel。
计算机或服务器已连接到已启用 Azure Arc 的服务器。
将已启用 Azure Arc 的服务器加入到 Microsoft Sentinel
Microsoft Sentinel 附带了许多适用于 Microsoft 解决方案的连接器,这些连接器立即可用并且提供实时集成。 对于物理计算机和虚拟机,可以安装用于收集日志并将其转发到 Microsoft Sentinel 的 Log Analytics 代理。 已启用 Azure Arc 的服务器支持使用以下方法部署 Log Analytics 代理:
使用 VM 扩展框架。
利用已启用 Azure Arc 的服务器中的这项功能,可以将 Log Analytics 代理 VM 扩展部署到非 Azure Windows 和/或 Linux 服务器。 在由已启用 Azure Arc 的服务器管理的混合计算机或服务器上,可以使用以下方法来管理 VM 扩展:
使用 Azure Policy。
在使用此方法时,请使用 Azure Policy 将 Log Analytics 代理部署到 Linux 或 Windows Azure Arc 计算机内置策略来审核已启用 Azure Arc 的服务器是否已安装 Log Analytics 代理。 如果该代理未安装,则会使用修正任务来自动部署该代理。 或者,如果你计划通过用于 VM 的 Azure Monitor 来监视计算机,请改为使用启用用于 VM 的 Azure Monitor 计划来安装和配置 Log Analytics 代理。
建议使用 Azure Policy 来安装适用于 Windows 或 Linux 的 Log Analytics 代理。
在连接已启用 Arc 的服务器后,数据会开始流式传输到 Microsoft Sentinel,并会准备就绪供你开始使用。 可以在内置仪表板中查看日志并开始在 Log Analytics 中构建查询以调查数据。