本文帮助你将已启用 Azure Arc 的计算机加入到 Microsoft Sentinel,以开始收集与安全相关的事件。 Microsoft Sentinel 为企业中的警报检测、威胁可见性、主动搜寻和威胁响应提供了单一解决方案。
在开始之前,请确保符合以下要求:
一台或多台计算机已载入到 Azure Arc。
必须在已启用 Arc 的计算机上安装和启用 Azure Monitor 代理 。 有关详细信息,请参阅 已启用 Azure Arc 的服务器上的 Azure Monitor 代理的部署选项。
Log Analytics 工作区。 有关 Log Analytics 工作区的详细信息,请参阅 设计 Log Analytics 工作区体系结构。
Microsoft Sentinel 必须在 订阅中启用。
Microsoft Sentinel 附带许多适用于 Microsoft 解决方案的数据连接器,这些连接器立即可用并且可实现实时集成。 对于物理和虚拟机,Azure Monitor Agent 可以将信息转发到 Microsoft Sentinel。
可以通过安装 Azure Monitor 代理扩展将 Azure Monitor 代理部署到已启用 Arc 的服务器。 这可以在每台计算机上单独完成,也可以通过 Azure Policy 或 Azure 自动化大规模完成。 有关详细信息,请参阅 已启用 Azure Arc 的服务器上的 Azure Monitor 代理的部署选项。
安装 Azure Monitor 代理后,可以启用 Microsoft Sentinel 并设置数据连接器,开始从已启用 Arc 的服务器收集与安全相关的事件。 有关详细信息,请参阅快速入门:加入 Microsoft Sentinel。
在连接已启用 Arc 的服务器后,数据会开始流式传输到 Microsoft Sentinel,并会准备就绪供你开始使用。 可以在内置仪表板中查看日志并开始在 Log Analytics 中构建查询以调查数据。