练习概述

你是一位安全运营架构师,所在公司实现了 Microsoft Sentinel。 你需要了解如何连接来自组织中多个数据源的日志数据。 该组织拥有来自 Microsoft 365、Microsoft Defender、Azure 资源和非 Azure 虚拟机的数据。 由于它们最容易操作,因此首先要连接 Microsoft 源。

练习说明

任务 1:访问 Microsoft Sentinel 工作区

在此任务中,你将访问 Microsoft Sentinel 工作区。

  1. 使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd 。

  2. 打开 Microsoft Edge 浏览器。

  3. 在 Microsoft Edge 浏览器中,导航到 Azure 门户 (https://portal.azure.com )。

  4. 在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。

  5. 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。

  6. 在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。

  7. 选择你在上一个实验室中创建的 Microsoft Sentinel 工作区。

  8. 继续执行下一个任务。

任务 2:连接 Microsoft Defender for Cloud 数据连接器

在此任务中,你将连接 Microsoft Defender for Cloud 数据连接器。

  1. 在 Microsoft Sentinel 左侧导航菜单中,向下滚动到“内容管理”部分,然后选择“内容中心”。

  2. 在“内容中心”,搜索 Microsoft Defender for Cloud 解决方案,并从列表中选择它。

  3. 在“Microsoft Defender for Cloud”解决方案详细信息页面上,选择“安装”。

  4. 安装完成后,搜索 Microsoft Defender for Cloud 解决方案并选择它。

  5. 在“Microsoft Defender for Cloud”解决方案详细信息页面上,选择“管理”

    备注: Microsoft Defender for Cloud 解决方案安装基于订阅的 Microsoft Defender for Cloud(旧版)数据连接器、基于租户的 Microsoft Defender for Cloud(预览版)数据连接器和分析规则。 当租户具有多个订阅时,将使用 基于租户的 Microsoft Defender for Cloud(预览版) 数据连接器。

  6. 选择“基于订阅的 Microsoft Defender for Cloud(旧版) 数据连接器”复选框,然后选择“打开连接器”页。

  7. 在“说明”选项卡下的“配置”部分,选中“Azure Pass - 赞助”订阅的复选框,并将“状态”选项滑动到右侧。

    注意: 如果切换回断开连接状态,请查看先决条件,并确认你已分配了修改数据连接器的适当权限。

  8. 现在,“状态”应该是“已连接”,并且“双向同步”应该是“已启用”。

任务 3:连接威胁智能信息提要

在此任务中,你将设置 Microsoft Defender 威胁智能连接器。

  1. 在 Microsoft Sentinel 左侧导航菜单中,向下滚动到“内容管理”部分,然后选择“内容中心”。

  2. 在“内容中心”,搜索“威胁智能”解决方案并从列表中选择它。

  3. 在解决方案页上,选择“安装”。

  4. 安装完成后,选择“管理”。

  5. 选择“Microsoft Defender 威胁智能(预览版)”数据连接器,然后选择“打开连接器”页。

  6. 在配置步骤下,单击要安装的按钮。

任务 4:连接 Azure 活动数据连接器

在此任务中,你将连接“Azure 活动”数据连接器。

  1. 在 Microsoft Sentinel 左侧菜单中,向下滚动到“内容管理”部分,然后选择“内容中心”。

  2. 在“内容中心”,搜索“Azure 活动”解决方案并从列表中选择它。

  3. 在“Azure 活动”解决方案页中,选择“安装”。

  4. 安装完成后,选择“管理”

    注意:“Azure 活动”解决方案会安装“Azure 活动”数据连接器、12 个分析规则、14 个搜寻查询和 1 个工作簿。

  5. 选择“Azure 活动”数据连接器,然后选择“打开连接器页面”。

  6. 在“说明”选项卡下的“配置”区域中,向下滚动到“2. 连接订阅…”,并选择“启动 Azure Policy 分配向导>”。

  7. 在“基本信息”选项卡中,选择“范围”下的省略号按钮 (…),从下拉列表中选择“MOC Subscription-lodxxxxxxxx”订阅,然后单击“选择”。

  8. 选择“参数”选项卡,从“主要 Log Analytics 工作区”下拉列表中选择“uniquenameDefender”工作区。 此操作将应用订阅配置,以将信息发送到 Log Analytics 工作区。

  9. 选择“修正”选项卡,然后选择“创建修正任务”复选框 。 此操作会将策略分配应用于现有的 Azure 资源。

    备注:修正任务在默认的“美国东部”区域中创建“托管标识”。 如果在其他区域中创建了 Log Analytics 工作区,则可以更改区域。

  10. 选择查看 + 创建按钮,检查配置。

  11. 选择创建以完成操作。

继续完成练习 3