Eseguire l'onboarding dei server abilitati per Azure Arc in Microsoft Sentinel

Questo articolo illustra come eseguire l'onboarding dei computer abilitati per Azure Arc in Microsoft Sentinel per iniziare a raccogliere eventi correlati alla sicurezza. Microsoft Sentinel fornisce un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce in tutta l'azienda.

Prerequisiti

Prima di iniziare, assicurarsi di soddisfare i requisiti seguenti:

• Un'area di lavoro Log Analytics. Per altre informazioni sulle aree di lavoro Log Analytics, vedere Progettazione della distribuzione dei log di Monitoraggio di Azure

• Microsoft Sentinel abilitato nella sottoscrizione

• Il computer è connesso ai server abilitati per Azure Arc

Eseguire l'onboarding dei server abilitati per Azure Arc in Microsoft Sentinel

Microsoft Sentinel è dotato di molti connettori per le soluzioni Microsoft, che sono disponibili per impostazione predefinita e consentono l'integrazione in tempo reale. Per i computer fisici e le macchine virtuali, è possibile installare l'agente di Log Analytics che raccoglie i log e li inoltra ad Azure Sentinel. I server abilitati per Azure Arc supportano la distribuzione dell'agente Log Analytics usando i metodi seguenti:

• Uso del framework delle estensioni della macchina virtuale.

  Questa funzionalità nei server abilitati per Azure Arc consente di distribuire l'estensione della macchina virtuale dell'agente Log Analytics in un server Windows e/o Linux non Azure. Le estensioni delle macchine virtuali possono essere gestite con i metodi seguenti nei computer ibridi o nei server gestiti dai server abilitati per Azure Arc:

  • Ilportale di Azure
  • L'interfaccia della riga di comando di Azure
  • Azure PowerShell
  • Modelli di Azure Resource Manager

• Utilizzo di Criteri di Azure.

  Usando questo approccio, si usa il Criteri di Azure criterio predefinito distribuire l'agente di Log Analytics in Linux o nei computer Azure Arc per controllare se il server abilitato per Azure Arc dispone dell'agente di Log Analytics installato. Se l'agente non è installato, viene distribuito automaticamente usando un'attività di correzione. In alternativa, se si prevede di monitorare i computer con Monitoraggio di Azure per le macchine virtuali, usare invece l'iniziativa Abilita Monitoraggio di Azure per le macchine virtuali per installare e configurare l’agente Log Analytics.

È consigliabile installare l'agente di Log Analytics per Windows o Linux usando Criteri di Azure.

Dopo avere connesso i server abilitati per Arc, viene avviato il flusso dei dati in Microsoft Sentinel ed è possibile iniziare a usarli. È possibile visualizzare i log nelle cartelle di lavoro predefinite e iniziare a creare le query in Log Analytics per esaminare i dati.

Passaggi successivi

Iniziare a rilevare minacce con Microsoft Sentinel.