Onboarding von Servern mit Azure Arc-Unterstützung bei Microsoft Sentinel

Dieser Artikel soll Ihnen helfen, das Onboarding Ihrer Server mit Azure Arc-Unterstützung auf Microsoft Sentinel durchzuführen und mit der Erfassung von Sicherheitsereignissen zu beginnen. Microsoft Sentinel ist eine Einzellösung für Warnungserkennung, Einblicke in Bedrohungen, proaktives Hunting und Reaktion auf Bedrohungen im gesamten Unternehmen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass die folgenden Anforderungen erfüllt werden:

Onboarding von Servern mit Azure Arc-Unterstützung bei Microsoft Sentinel

Microsoft Sentinel verfügt über eine Reihe von Connectors für Microsoft-Lösungen, die sofort verfügbar sind und Echtzeitintegration bieten. Für physische und virtuelle Computer können Sie den Log Analytics-Agent installieren, mit dem die Protokolle gesammelt und an Microsoft Sentinel weitergeleitet werden. Azure Arc-aktivierte Server unterstützen die Bereitstellung des Protokollanalyse-Agenten mit den folgenden Methoden:

  • Verwenden des VM-Erweiterungen-Frameworks.

    Mit dieser Funktion in Servern mit Azure Arc-Unterstützung können Sie die VM-Erweiterung für den Log Analytics-Agent auf einem Nicht-Azure-Windows- und/oder Linux-Server bereitstellen. VM-Erweiterungen können mit den folgenden Methoden auf Ihren hybriden Computern oder Servern verwaltet werden, die von Azure Arc-aktivierten Servern verwaltet werden:

  • Verwenden von Azure Policy.

    Bei diesem Ansatz verwenden Sie die in der Azure Policy Protokollanalyse-Agent zu Linux oder Windows Azure Arc Computer bereitstellen integrierte Richtlinie, um zu prüfen, ob der Protokollanalyse-Agent auf dem Azure Arc-aktivierten Server installiert ist. Wenn der Agent nicht installiert ist, wird er automatisch über einen Wartungstask bereitgestellt. Wenn Sie alternativ die Überwachung der Computer mit Azure Monitor für VMs planen, verwenden Sie stattdessen die Methode Azure Monitor für VMs aktivieren, um den Log Analytics-Agent zu installieren und zu konfigurieren.

Es wird empfohlen, den Log Analytics-Agent für Windows oder Linux mit Azure Policy zu installieren.

Sobald Ihre Server mit Arc-Unterstützung verbunden sind, beginnt das Streaming Ihrer Daten zu Microsoft Sentinel. Sie können dann mit der Arbeit mit Ihren Daten loslegen. Sie können die Protokolle in den integrierten Arbeitsmappen anzeigen und mit der Erstellung von Abfragen in Log Analytics beginnen, um die Daten zu untersuchen.

Nächste Schritte

Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.