练习 - 使用 Microsoft Sentinel 工作簿查询和可视化数据
此 查询和可视化数据 练习是一个可选单元。 如果要执行本练习,则需要访问可在其中创建 Azure 资源的 Azure 订阅。 如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
注释
如果选择在本模块中执行练习,请注意,可能会在 Azure 订阅中产生费用。 若要估算成本,请参阅 Microsoft Sentinel 定价。
若要部署练习的先决条件,请执行以下任务。
任务 1:创建资源
选择以下链接:
系统将提示你登录到 Azure。
在 “自定义部署 ”页上,提供以下信息:
名称 DESCRIPTION 订阅 选择 Azure 订阅。 资源组 选择“ 新建 ”并为资源组(如 azure-sentinel-rg)提供名称。 区域 从下拉菜单中,选择要部署Microsoft Sentinel 的位置。 工作区名称 为 Microsoft Sentinel 工作区(如 <yourName-sentinel>)提供唯一的名称。 位置 接受默认值 [resourceGroup().location]。 Simplevm 名称 接受默认值 simple-vm。 Simplevm Windows OS 版本 接受 默认值 2022-Datacenter。 选择“查看 + 创建”,然后选择“创建”。
注释
等待部署完成。 部署需要不到 5 分钟的时间。
任务 2:检查创建的资源
在 Azure 门户中,搜索“资源组”。
选择“azure-sentinel-rg”。
按“类型”对资源列表进行排序。
资源组应包含下表列出的资源。
名称 类型 DESCRIPTION <yourName-sentinel> Log Analytics 工作区 Microsoft Sentinel 使用的 Log Analytics 工作区,以及你在上一个任务中选择的工作区名称。 simple-vmNetworkInterface 网络接口 虚拟机(VM)的网络接口。 SecurityInsights(<yourName-sentinel>) 解决方案 Microsoft Sentinel 的安全见解。 st1xxxxx 存储帐户 VM 使用的存储帐户。 随机字符串 xxxxx 创建唯一的存储帐户名称。 simple-vm 虚拟机 演示中使用的虚拟机。 vnet1 虚拟网络 VM 的虚拟网络。
注释
本练习中的资源和配置在下一个练习中是必需的。 如果打算完成下一个练习,请不要删除这些资源。
任务 3:配置 Microsoft Sentinel 连接器
在此任务中,将 Microsoft Sentinel 连接器部署到 Azure 活动。
在 Azure 门户中,搜索并选择“Microsoft Sentinel”。 选择在上一个任务中创建的 Microsoft Sentinel 工作区。
在 “Microsoft Sentinel ”页上的菜单栏的 “配置”下,选择 “数据连接器”。
在 “数据连接器 ”窗格中,搜索并选择 “Azure 活动”。
在详细内容窗格中,选择“打开连接器页面”。
在 Azure 活动 界面中的 说明 下,验证 先决条件,并按照 配置 步骤操作。
收到 “已连接”状态时,关闭所有打开的面板以返回到 Microsoft Sentinel |数据连接器 面板。
注释
Azure 活动的连接器可能需要 15 分钟才能部署。 可以继续执行练习中的其余步骤以及本模块中的后续单元。