学习路径 8 - 实验室 1 - 练习 1 - 使用数据连接器将数据连接到 Microsoft Sentinel

实验室方案

实验室概述。

你是一位安全运营分析师，你所在公司已实现 Microsoft Sentinel。你需要了解如何连接来自组织中多个数据源的日志数据。组织的数据来自 Microsoft 365、Microsoft 365 Defender、Azure 资源、非 Azure 虚拟机等。首先开始连接 Microsoft 源。

重要说明： 学习路径 #8 的实验室练习是在独立环境中进行的。如果在完成实验室前退出，则需要重新运行配置。

完成本实验室的预计时间：20 分钟

任务 1：访问 Microsoft Sentinel 工作区

在此任务中，你将访问 Microsoft Sentinel 工作区。

备注： 已在名称为 defenderWorkspace 的 Azure 订阅中预先部署了 Microsoft Sentinel，并且已安装所需的内容中心解决方案。

使用以下密码以管理员身份登录到 WIN1 虚拟机：Pa55w.rd 。
打开 Microsoft Edge 浏览器。
在 Microsoft Edge 浏览器中，导航到 Azure 门户 (https://portal.azure.com )。
在“登录”对话框中，复制粘贴实验室托管提供者提供的租户电子邮件帐户，然后选择“下一步” 。
在“输入密码”对话框中，复制粘贴实验室托管提供者提供的租户密码，然后选择“登录” 。
在 Azure 门户的“搜索”栏中，键入 Sentinel，然后选择 Microsoft Sentinel。
选择 Microsoft Sentinel defenderWorkspace。
继续执行下一个任务。

任务 2：连接 Microsoft Defender for Cloud 数据连接器

在此任务中，你将连接 Microsoft Defender for Cloud 数据连接器。

在 Microsoft Sentinel 导航菜单中，向下滚动到“内容管理”部分，然后选择“内容中心”。
在“内容中心”，搜索“Microsoft Defender for Cloud”解决方案，并从列表中选择它。
在 Microsoft Defender for Cloud 解决方案详细信息页上，选择“管理”。

备注： Microsoft Defender for Cloud** 解决方案安装基于订阅的 Microsoft Defender for Cloud（旧版）** 数据连接器、基于租户的 Microsoft Defender for Cloud（预览版）** 数据连接器和分析规则。当租户具有多个订阅时，将使用 基于租户的 Microsoft Defender for Cloud（预览版） 数据连接器。
选择“基于订阅的 Microsoft Defender for Cloud（旧版）** 数据连接器”复选框，然后选择“打开连接器页”**。
在 “配置”部分中，选中 MOC Subscription-XXXXXXXXXXXXXXXXX 的复选框，然后选择“连接”链接，或向右滑动“状态”选项。
若要启用双向同步，请选择“为所有订阅启用 Microsoft Defender”链接。

备注： 可能需要滚动到右侧才能看到链接。
在“Microsoft Defender for Cloud - 入门”页上，应选中 MOC Subscription-XXXXXXXXXXX 的复选框，并且 Microsoft Defender 计划应显示“启用 - 部分（剩余 30 个试用日）”。
选择右上方的“X（关闭）”按钮，关闭“入门”页。在 Microsoft Defender for Cloud 配置页上，执行以下操作：
MOC Subscription-XXXXXXXXX 的“状态”现在应为“已连接”，并且“双向同步”应该是“已启用”。

注意： 可能需要刷新页面。

任务 3：连接 Azure 活动数据连接器

在此任务中，你将连接“Azure 活动”数据连接器。