练习概述
你是一位安全运营架构师,所在公司正在实现 Microsoft Sentinel。 你负责设置满足公司要求的 Microsoft Sentinel 环境,并最大程度降低成本、符合法规要求,同时为安全团队提供最易于管理的环境,以便其履行日常工作职责。 第一项任务是部署 Microsoft Sentinel 工作区。 该解决方案必须满足以下要求:
- 确保 Sentinel 数据存储在美国西部 Azure 区域。
- 确保所有 Sentinel 分析日志都保留 180 天。
- 将角色分配给 Operator1,以确保 Operator1 可以管理事件并运行 sentinel playbook。 解决方案必须符合最低权限原则。
练习说明
任务 1:创建 Log Analytics 工作区
创建日志分析工作区,包括区域选项。 详细了解 Microsoft Sentinel 中的角色。
-
在 Microsoft Edge 浏览器中,导航到 Azure 门户 (https://portal.azure.com )。
备注: 为实验室的“用户名”和“密码”选择“资源”选项卡。 使用此实验室的 LabUser-XXXXXXXX@LODSPRODXXX.onmicrosoft.com 帐户。
-
在“登录”对话框中,复制并粘贴实验室托管提供者为管理员用户名提供的租户电子邮件帐户,然后选择“下一步” 。
- 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的管理员的租户密码,然后选择“登录” 。
-
在 Azure 门户的“搜索”栏中,键入“Microsoft Sentinel”,然后选择
-
选择“+ 新建”。
-
选择新建工作区。
-
选择“RG2”作为资源组
-
为 Log Analytics 工作区输入唯一名称
-
选择“美国西部”作为工作区的区域。
-
选择查看 + 创建以创建工作区。
- 选择创建以创建工作区。
任务 2:部署 Microsoft Sentinel 到工作区
向工作区部署 Microsoft Sentinel
-
工作区部署完成后,选择“刷新”以显示新工作区。
-
选择要添加 Sentinel 的工作区(在任务 1 中创建)。
-
选择 添加 。
任务 3:配置数据保留
-
在 Microsoft Azure“痕迹导航”菜单中,选择“主页”。
-
在 Azure 门户的搜索栏中输入“Log Analytics”,然后选择在任务 1 中创建的工作区。
-
展开导航菜单中的“设置”部分,然后选择“使用情况和估计成本”。
-
请选择数据保留。
-
将数据保留期更改为 180 天。
-
选择“确定”**。