Övning – Konfigurera Azure-miljön

Slutförd

Utför följande steg för att konfigurera Azure-miljön för den valfria incidenthanteringsövningen.

Förutsättningar

För att slutföra den här valfria övningen behöver du åtkomst till en Azure-prenumeration. Om du inte har en prenumeration skapar du ett kostnadsfritt konto.

Kommentar

Tänk på att den här övningen skapar resurser som kan medföra kostnader i din Azure-prenumeration. Information om hur du beräknar kostnaderna finns i Priser för Microsoft Sentinel.

Distribuera Azure Resource Manager-mallen

  1. Välj följande knapp för att distribuera mallen Azure Resource Manager (ARM) som skapar Azure-resurserna. Logga in på Azure om du uppmanas att göra det.

    Deploy To Azure.

  2. Ange följande information på sidan Anpassad distribution:

    • Prenumeration: Välj din Azure-prenumeration om du inte redan har valt den.
    • Resursgrupp: Välj Skapa ny och ge resursgruppen namnet azure-sentinel-rg.
    • Plats: Välj den Azure-region där du vill distribuera Microsoft Sentinel.
    • Namn på arbetsyta: Ange ett unikt namn för Microsoft Sentinel-arbetsytan, till exempel <yourName-Sentinel>.
  3. Låt de andra inställningarna vara som de är, välj Granska + skapa och välj sedan Skapa.

Vänta tills distributionen är klar. Distributionen bör ta mindre än fem minuter.

Verifiera distribuerade resurser

  1. När distributionen är klar väljer du Gå till resursgrupp eller söker efter resursgrupper i portalen och väljer sedan azure-sentinel-rg.

  2. På sidan azure-sentinel-rg sorterar du listan över resurser efter typ.

  3. Bekräfta att resursgruppen innehåller följande resurser:

    Namn Type Beskrivning
    <yourName-Sentinel> Log Analytics-arbetsyta Log Analytics-arbetsyta som Microsoft Sentinel använder, med det namn du valde för arbetsytan.
    simple-vmNetworkInterface Nätverksgränssnitt Nätverksgränssnitt för den virtuella datorn.
    SecurityInsights(<yourName-Sentinel>) Lösning Säkerhetsinsikter för Microsoft Sentinel.
    st1<xxxxx> Lagringskonto Lagringskonto som används av den virtuella datorn, där <xxxxx> representerar en slumpmässig sträng som genereras för att skapa ett unikt lagringskontonamn.
    simple-vm Virtuell dator (VM) virtuell dator som ska användas i demonstrationen.
    vnet1 Virtuellt nätverk Virtuellt nätverk för den virtuella datorn.

Konfigurera Microsoft Sentinel-anslutningsappen

Distribuera sedan Azure Activity Log Connector för Microsoft Sentinel.

  1. I Azure-portalen söker du efter och väljer Microsoft Sentinel.
  2. På sidan Microsoft Sentinel väljer du den Microsoft Sentinel-arbetsyta som du skapade.
  3. På arbetsytans sida väljer du Dataanslutningsprogram under Konfiguration på den vänstra menyn.
  4. På sidan Dataanslutningsprogram söker du efter och väljer Azure-aktivitet och väljer sedan Sidan Öppna anslutningsprogram på skärmen Azure-aktivitet .
  5. Längst ned på sidan Azure-aktivitet väljer du Guiden Starta Azure Policy-tilldelning.
  6. På fliken Grundinställningar i guiden väljer du ellipsen ... under Omfång. I fönstret Omfång väljer du din prenumeration och väljer sedan Välj.
  7. Välj fliken Parametrar och välj din Microsoft Sentinel-arbetsyta i listrutan Primär Log Analytics-arbetsyta .
  8. Välj fliken Reparation och markera kryssrutan Skapa en reparationsaktivitet . Den här åtgärden tillämpar prenumerationskonfigurationen för att skicka informationen till Log Analytics-arbetsytan.
  9. Välj knappen Granska + skapa för att granska konfigurationen och välj sedan Skapa.

Azure Activity-anslutningsappen kan ta upp till en timme att visa statusen Anslut ed. När anslutningsappen distribueras fortsätter du till följande enheter för att lära dig mer om incidenter i Microsoft Sentinel.