练习概述
你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你需要了解如何连接来自组织中多个数据源的日志数据。 下一个数据源是 Azure 内部和外部的 Windows 虚拟机,例如本地环境或其他公共云。
练习说明
任务 1:访问 Microsoft Sentinel 工作区
在此任务中,你将访问 Microsoft Sentinel 工作区。
-
使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd。
-
打开 Microsoft Edge 浏览器。
-
在 Microsoft Edge 浏览器中,导航到 Azure 门户 (https://portal.azure.com )。
备注: 为实验室的“用户名”和“密码”选择“资源”选项卡。 使用此实验室的 LabUser-XXXXXXXX@LODSPRODXXX.onmicrosoft.com 帐户。
-
在“登录”对话框中,复制并粘贴到实验室托管提供商提供的租户电子邮件帐户中,然后选择“下一步”。
-
在“输入密码”对话框中,复制并粘贴到实验室托管提供商提供的租户密码中,然后选择“登录”。
-
在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。
-
选择你在上一个实验室中创建的 Microsoft Sentinel 工作区。
-
继续执行下一个任务。
任务 2:安装 Windows 安全事件解决方案
-
在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。
-
选择之前创建的 Microsoft Sentinel 工作区。
-
- 在 Microsoft Sentinel 左侧导航菜单中,向下滚动到“内容管理”部分,然后选择“内容中心”。
-
在“内容中心”,搜索“Windows 安全事件”解决方案,并从列表中选择它。
-
在“Windows 安全事件”解决方案页上,选择“安装”。
-
安装完成后,选择“管理”
注意:“Windows 安全事件”解决方案安装“通过 AMA 收集的 Windows 安全事件”和“通过旧版代理程序的安全事件”数据连接器。 外加 2 个工作簿、20 个分析规则和 43 个搜寻查询。
- 选择“通过 AMA 收集的 Windows 安全事件”数据连接器,然后在连接器信息窗格上选择“打开连接器页面”。
在下一个任务中,我们将通过创建数据收集规则 (DCR) 并向其添加 Microsoft Azure Windows 虚拟机来设置此连接器。
任务 3:将 Azure Windows 虚拟机连接到 Microsoft Sentinel
-
在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。
-
选择之前创建的 Microsoft Sentinel 工作区。
-
在 Microsoft Sentinel 左侧导航菜单中,向下滚动到“配置”,然后选择“数据连接器”。
-
通过在上一练习中创建的 AMA 连接器查找 Windows 安全事件。
-
通过 AMA 数据连接器选择“Windows 安全事件”,然后在连接器信息窗格上选择“打开连接器页”。
-
在“说明”选项卡下的“配置”部分,选择“创建数据收集规则”。
-
为“规则名称”输入“AZWINDCR”,然后选择“下一步: 资源”。
-
选择“+ 添加资源”,以选择我们创建的虚拟机。
-
展开 MOC Subscription-lodxxxxxxxx 订阅和 RG2 资源组,然后选择 VM1。
-
选择“下一步: 收集”。
-
查看不同的安全事件收集选项。 保留所有安全事件,然后选择“下一步: 查看 + 创建”。
-
选择“创建”,保存数据收集规则。
-
需要几分钟时间才能看到列出的新数据收集规则。 可以根据需要选择“刷新”。 还可以选择“钟”通知图标,查看规则创建的进度。 你应该看到规则创建“在 VM1 虚拟机上成功地安装了 AMA 代理扩展”。