使用 Azure 安全中心和 Azure Sentinel 的混合安全監(jiān)視

此參考體系結(jié)構(gòu)演示了如何使用 Azure 安全中心和 Azure Sentinel 來(lái)監(jiān)視本地和 Azure 操作系統(tǒng)工作負(fù)荷的安全配置和遙測(cè)數(shù)據(jù)。 這包括 Azure Stack。

下載此體系結(jié)構(gòu)的 Visio 文件。

此體系結(jié)構(gòu)的典型用途包括：

• 將本地安全和遙測(cè)監(jiān)視與基于 Azure 的工作負(fù)荷集成的最佳實(shí)踐

• 如何將 Azure 安全中心與 Azure Stack 集成

• 如何將 Azure 安全中心與 Azure Sentinel 集成

體系結(jié)構(gòu)

該體系結(jié)構(gòu)包括以下組件：

• Azure 安全中心。 這是 Microsoft 提供給所有 Azure 訂戶的高級(jí)統(tǒng)一安全管理平臺(tái)。 安全中心劃分為云安全狀況管理 (CSPM) 和云工作負(fù)荷保護(hù)平臺(tái) (CWPP) 。 CWPP 是由以工作負(fù)荷為中心的安全保護(hù)解決方案（通?；诖恚┒x的。 Azure 安全中心可為本地和其他云中的 Azure 工作負(fù)荷（包括 Windows 和 Linux 虛擬機(jī) (Vm) 、容器、數(shù)據(jù)庫(kù)和物聯(lián)網(wǎng) (IoT) ）提供威脅保護(hù)。 激活時(shí)，Log Analytics 代理會(huì)自動(dòng)部署到 Azure 虛擬機(jī)中。 對(duì)于本地 Windows 和 Linux 服務(wù)器和 Vm，你可以手動(dòng)部署代理，使用組織的部署工具（如 Microsoft Endpoint Protection 管理員）或使用腳本化部署方法。 安全中心開(kāi)始評(píng)估所有 Vm、網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)的安全狀態(tài)。

• Azure Sentinel。 是一種云本機(jī)安全信息和事件管理 (SIEM) 和安全業(yè)務(wù)流程自動(dòng)響應(yīng) (之忠誠(chéng)度) 解決方案，該解決方案使用高級(jí) AI 和安全分析來(lái)幫助檢測(cè)、查尋、阻止和應(yīng)對(duì)企業(yè)內(nèi)的威脅。

• Azure Stack。 是一系列產(chǎn)品，可將 Azure 服務(wù)和功能從數(shù)據(jù)中心擴(kuò)展到邊緣位置和遠(yuǎn)程辦公室。 與 Azure Stack 集成的系統(tǒng)通常使用由受信任的硬件合作伙伴構(gòu)建并直接傳遞到你的數(shù)據(jù)中心的四到十六個(gè)服務(wù)器。

• Azure Monitor。 從各種本地和 Azure 源收集監(jiān)視遙測(cè)數(shù)據(jù)。 管理工具（例如 Azure 安全中心和 Azure 自動(dòng)化中的工具）也將日志數(shù)據(jù)推送到 Azure Monitor。

• Log Analytics 工作區(qū)。 Azure Monitor 將日志數(shù)據(jù)存儲(chǔ)在 Log Analytics 工作區(qū)，該工作區(qū)是包含數(shù)據(jù)和配置信息的容器。

• Log Analytics 代理。 Log Analytics 代理從 Azure、其他云提供程序和本地中的來(lái)賓操作系統(tǒng)和 VM 工作負(fù)載收集監(jiān)視數(shù)據(jù)。 Log Analytics 代理支持代理配置，通常在這種情況下，Microsoft Operations Management Suite (OMS) 網(wǎng)關(guān)充當(dāng)代理。

• 本地網(wǎng)絡(luò)。 此防火墻配置為支持來(lái)自定義的系統(tǒng)的 HTTPS 出口。

• 本地 Windows 和 Linux 系統(tǒng)。 安裝了 Log Analytics 代理的系統(tǒng)。

• Azure Windows 和 Linux vm。 安裝 Azure 安全中心監(jiān)視代理的系統(tǒng)。

建議

以下建議適用于大多數(shù)方案。 除非有優(yōu)先于這些建議的特定要求，否則請(qǐng)遵循這些建議。

Azure 安全中心升級(jí)

此參考體系結(jié)構(gòu)使用 Azure 安全中心 來(lái)監(jiān)視本地系統(tǒng)、Azure vm、Azure Monitor 資源，甚至其他云提供商托管的 vm。 若要支持該功能，需要 Azure 安全中心的 基于費(fèi)用的標(biāo)準(zhǔn)層 。 建議使用30天免費(fèi)試用版來(lái)驗(yàn)證要求。

可在 此處找到有關(guān) Azure 安全中心定價(jià)的詳細(xì)信息。

自定義 Log Analytics 工作區(qū)

Azure Sentinel 需要 Log Analytics 工作區(qū)的訪問(wèn)權(quán)限。 在這種情況下，不能將默認(rèn) ASC Log Analytics 工作區(qū)與 Azure Sentinel 一起使用。 需要?jiǎng)?chuàng)建自定義工作區(qū)。 自定義工作區(qū)的數(shù)據(jù)保留基于工作區(qū)定價(jià)層，可在 此處找到監(jiān)視日志的定價(jià)模型。

 備注

Azure Sentinel 可以在任何公開(kāi)上市 (GA) Log Analytics 區(qū)域（中國(guó)和德國(guó) (主權(quán)) 區(qū)域除外）上運(yùn)行。 Azure Sentinel 生成的數(shù)據(jù)，例如事件、書(shū)簽和警報(bào)規(guī)則（其中可能包含源自這些工作區(qū)的客戶數(shù)據(jù)）將保存在基于歐洲的工作區(qū)的歐洲 (中) ，在澳大利亞 (適用于基于澳大利亞的工作區(qū)) ，或在位于任何其他區(qū)域的工作區(qū)的美國(guó)東部 () 。

可伸縮性注意事項(xiàng)

適用于 Windows 和 Linux 的 Log Analytics 代理旨在對(duì) Vm 或物理系統(tǒng)的性能產(chǎn)生非常小的影響。

Azure 安全中心操作過(guò)程不會(huì)影響正常的操作過(guò)程。 相反，它將被動(dòng)監(jiān)視你的部署并根據(jù)你啟用的安全策略提供建議。

可管理性注意事項(xiàng)

Azure 安全中心角色

安全中心會(huì)評(píng)估資源的配置以識(shí)別安全問(wèn)題，并在為資源所屬的訂閱或資源組分配所有者、參與者或讀取者角色時(shí)，顯示與資源相關(guān)的信息。

除這些角色外，還有兩個(gè)特定的安全中心角色：

• 安全讀者。 屬于此角色的用戶對(duì)安全中心具有只讀權(quán)限。 用戶可以觀察建議、警報(bào)、安全策略和安全狀態(tài)，但不能進(jìn)行更改。

• 安全管理員。屬于此角色的用戶具有與安全讀取器相同的權(quán)限，并且還可以更新安全策略，并消除警報(bào)和建議。 通常，這些是管理工作負(fù)荷的用戶。

• 安全角色、安全****管理員和安全管理員 只能訪問(wèn)安全中心。 安全角色無(wú)權(quán)訪問(wèn)其他 Azure 服務(wù)區(qū)域，如存儲(chǔ)、web、移動(dòng)或 IoT。

Azure Sentinel 訂閱

• 若要啟用 Azure Sentinel，需要獲取 Azure Sentinel 工作區(qū)所在訂閱的參與者權(quán)限。

• 若要使用 Azure Sentinel，需要對(duì)工作區(qū)所屬資源組具有參與者或讀者權(quán)限。

• Azure Sentinel 是付費(fèi)服務(wù)。 有關(guān)詳細(xì)信息，請(qǐng)參閱 Azure Sentinel 定價(jià)。

安全注意事項(xiàng)

安全策略 定義為指定訂閱中的資源建議的一組控件。 在 Azure 安全中心，根據(jù)公司的安全要求和應(yīng)用程序類型或每個(gè)訂閱的數(shù)據(jù)敏感度，為 Azure 訂閱定義策略。

Azure 安全中心中啟用的安全策略用于驅(qū)動(dòng)安全建議和監(jiān)視。 若要了解有關(guān)安全策略的詳細(xì)信息，請(qǐng)參閱 通過(guò) Azure 安全中心增強(qiáng)安全策略。 只能在管理組或訂閱組級(jí)別分配 Azure 安全中心的安全策略。

 備注

部分參考體系結(jié)構(gòu)詳細(xì)介紹了如何啟用 Azure 安全中心來(lái)監(jiān)視 Azure 資源、本地系統(tǒng)和 Azure Stack 系統(tǒng)。

部署解決方案

在 Azure 門(mén)戶中創(chuàng)建 Log Analytics 工作區(qū)

1. 以具有安全管理員權(quán)限的用戶身份登錄到 Azure 門(mén)戶。

2. 在 Azure 門(mén)戶中，選擇“所有服務(wù)”。 在資源列表中，輸入 Log Analytics。 開(kāi)始輸入時(shí)，列表會(huì)根據(jù)輸入篩選。 選擇“Log Analytics 工作區(qū)”。

3. 在 Log Analytics "頁(yè)上選擇" 添加 "。

4. 為新的 Log Analytics 工作區(qū)提供名稱，例如 SentinelWorkspace。 此名稱在所有 Azure Monitor 訂閱中必須是全局唯一的。

5. 如果默認(rèn)選擇不合適，請(qǐng)從下拉列表中選擇來(lái)選擇訂閱。

6. 對(duì)于 " 資源組"，請(qǐng)選擇使用現(xiàn)有的資源組或創(chuàng)建一個(gè)新的資源組。

7. 對(duì)于 " 位置"，請(qǐng)選擇可用的地理位置。

8. 選擇“確定”以完成配置。 

啟用安全中心

當(dāng)你仍以具有安全管理員權(quán)限的用戶身份登錄到 Azure 門(mén)戶時(shí)，請(qǐng)?jiān)诿姘逯羞x擇 " 安全中心 "。 安全中心-概述 打開(kāi)：

安全中心會(huì)自動(dòng)為你或其他訂閱用戶之前未載入的任何 Azure 訂閱啟用免費(fèi)級(jí)別。

升級(jí)到標(biāo)準(zhǔn)層

 重要

此參考體系結(jié)構(gòu)使用安全中心標(biāo)準(zhǔn)層的30天免費(fèi)試用版。

1. 在 "安全中心" 主菜單上，選擇 " 入門(mén)"。

2. 選擇 " 立即升級(jí) " 按鈕。 安全中心列出了可在標(biāo)準(zhǔn)層中使用的訂閱和工作區(qū)。

3. 可以選擇符合試用條件的工作區(qū)和訂閱來(lái)開(kāi)始試用。 選擇以前創(chuàng)建的工作區(qū) SentinelWorkspace。 從下拉菜單中。

4. 在安全中心主菜單中，選擇 " 開(kāi)始試用"。

5. 應(yīng)該會(huì)顯示 " 安裝代理 " 對(duì)話框。

6. 選擇 " 安裝代理 " 按鈕。 將顯示 " 安全中心覆蓋率 " 邊欄選項(xiàng)卡，你應(yīng)在 " 標(biāo)準(zhǔn)覆蓋范圍 " 選項(xiàng)卡中查看所選的訂閱。 

你現(xiàn)在已啟用自動(dòng)預(yù)配，安全中心將在所有受支持的 Azure Vm 以及你創(chuàng)建的任何新 Vm 上安裝適用于 Windows (HealthService.exe) 和 omsagent For Linux 的 Log Analytics 代理。 盡管我們強(qiáng)烈建議自動(dòng)預(yù)配，但你可以關(guān)閉此策略并手動(dòng)管理它。

若要詳細(xì)了解 Windows 和 Linux 中提供的特定安全中心功能，請(qǐng)參閱 計(jì)算機(jī)的功能覆蓋。

啟用本地 Windows 計(jì)算機(jī)的 Azure 安全中心監(jiān)視

1. 在 Azure 門(mén)戶中的 " 安全中心-概述 " 邊欄選項(xiàng)卡上，選擇 " 入門(mén) " 選項(xiàng)卡。

2. 在 "添加新的非 Azure 計(jì)算機(jī)" 下選擇 "配置"。 將顯示 Log Analytics 工作區(qū)列表，并應(yīng)包括 SentinelWorkspace。

3. 選擇此工作區(qū)。 此時(shí)會(huì)打開(kāi) " 直接代理 " 邊欄選項(xiàng)卡，其中包含用于下載 Windows 代理和密鑰的鏈接， (ID) 在配置代理時(shí)使用。

4. 選擇適用于計(jì)算機(jī)處理器類型的“下載 Windows 代理”鏈接，以下載安裝程序文件。

5. 在 " 工作區(qū) ID" 右側(cè)，選擇 " 復(fù)制"，然后將該 ID 粘貼到記事本中。

6. 在 " 主鍵" 的右側(cè)，選擇 " 復(fù)制"，然后將該密鑰粘貼到記事本中。

安裝 Windows 代理

若要在目標(biāo)計(jì)算機(jī)上安裝代理，請(qǐng)按照以下步驟操作。

1. 將該文件復(fù)制到目標(biāo)計(jì)算機(jī)，然后 運(yùn)行安裝程序。

2. 在“歡迎”頁(yè)上，選擇“下一步”。

3. 在“許可條款”頁(yè)面上閱讀許可協(xié)議，然后選擇“我接受” 。

4. 在“目標(biāo)文件夾”頁(yè)面上更改或保留默認(rèn)安裝文件夾，然后選擇“下一步” 。

5. 在“代理安裝選項(xiàng)”頁(yè)上，選擇將代理連接到 Azure Log Analytics，然后選擇“下一步”。

6. 在 Azure Log Analytics 頁(yè)上，粘貼在前面步驟中復(fù)制到記事本的“工作區(qū) ID” 和“工作區(qū)密鑰(主密鑰)” 。

7. 如果計(jì)算機(jī)應(yīng)向 Azure 政府云中的 Log Analytics 工作區(qū)報(bào)告，請(qǐng)從“Azure 云”下拉列表中選擇“Azure 美國(guó)政府版”。 如果計(jì)算機(jī)需要通過(guò)代理服務(wù)器與 Log Analytics 服務(wù)通信，請(qǐng)選擇 " 高級(jí)"，然后提供代理服務(wù)器的 URL 和端口號(hào)。

8. 提供必要的配置設(shè)置后，選擇 " 下一步"。 

9. 在“準(zhǔn)備安裝”頁(yè)上檢查所做的選擇，并選擇“安裝” 。

10. 在“配置已成功完成”頁(yè)上，選擇“完成”。

完成后，Log Analytics 代理將顯示在 Windows "控制面板" 中，你可以查看配置并驗(yàn)證代理是否已連接。

有關(guān)安裝和配置代理的詳細(xì)信息，請(qǐng)參閱 在 Windows 計(jì)算機(jī)上安裝 Log Analytics 代理。

Log Analytics 代理服務(wù)收集事件和性能數(shù)據(jù)、執(zhí)行任務(wù)以及管理包中定義的其他工作流。 安全中心通過(guò)集成 服務(wù)器 的 Microsoft Defender 高級(jí)威脅防護(hù) (ATP) 來(lái)擴(kuò)展其云工作負(fù)荷保護(hù)平臺(tái)。 兩者共同提供全面的終結(jié)點(diǎn)檢測(cè)和響應(yīng) (EDR) 功能。

有關(guān) Microsoft Defender ATP 的詳細(xì)信息，請(qǐng)參閱 Microsoft DEFENDER atp 服務(wù)的板載服務(wù)器。

啟用本地 Linux 計(jì)算機(jī)的 Azure 安全中心監(jiān)視

1. 如前面所述，返回到 " 入門(mén) " 選項(xiàng)卡。

2. 在 "添加新的非 Azure 計(jì)算機(jī)" 下選擇 "配置"。 將顯示 Log Analytics 工作區(qū)的列表。 此列表應(yīng)包括你創(chuàng)建的 SentinelWorkspace 。

3. 在 下載和 LINUX 代理 下的 "直接代理" 邊欄選項(xiàng)卡中，選擇 "復(fù)制" 以復(fù)制 wget 命令。

4. 打開(kāi)記事本，然后粘貼此命令。 將此文件保存到你可以從 Linux 計(jì)算機(jī)訪問(wèn)的位置。

 備注

在 Unix 和 Linux 操作系統(tǒng)上， wget 是用于從 web 下載非交互式文件的工具。 它支持 HTTPS、FTPs 和代理。

Linux 代理使用 Linux 審核后臺(tái)程序框架。 安全中心在 Log Analytics 代理中將此框架的功能集成，這使得可以使用適用于 Linux 的 Log Analytics 代理將審核記錄收集、進(jìn)行豐富并聚合到事件中。 安全中心會(huì)持續(xù)添加新分析功能，這些功能可以使用 Linux 信號(hào)來(lái)檢測(cè)云和本地 Linux 計(jì)算機(jī)上的惡意行為。

有關(guān) Linux 警報(bào)的列表，請(qǐng)參閱 警報(bào)的引用表。

安裝 Linux 代理

若要在目標(biāo) Linux 計(jì)算機(jī)上安裝代理，請(qǐng)執(zhí)行以下步驟：

1. 在 Linux 計(jì)算機(jī)上，打開(kāi)以前保存的文件。 選擇并復(fù)制整個(gè)內(nèi)容，打開(kāi)終端控制臺(tái)，然后粘貼命令。

2. 安裝完成后，可以通過(guò)運(yùn)行 pgrep 命令來(lái)驗(yàn)證是否已安裝 omsagent 。 命令將返回 omsagent 進(jìn)程標(biāo)識(shí)符 (PID) 。 可以在以下位置找到代理的日志： /var/opt/microsoft/omsagent/"工作區(qū) id"/log/。

最長(zhǎng)可能需要30分鐘的時(shí)間，新的 Linux 計(jì)算機(jī)才會(huì)顯示在安全中心。

啟用 Azure Stack Vm 的 Azure 安全中心監(jiān)視

載入 Azure 訂閱后，可以通過(guò)從 Azure Stack marketplace 添加 Azure Monitor、更新和配置管理 VM 擴(kuò)展，使安全中心能夠保護(hù) Azure Stack 上運(yùn)行的 vm。 為此，請(qǐng)按以下步驟操作：

1. 如前面所述，返回到 " 入門(mén) " 選項(xiàng)卡。

2. 在 "添加新的非 Azure 計(jì)算機(jī)" 下選擇 "配置"。 將顯示 Log Analytics 工作區(qū)列表，并應(yīng)包括你創(chuàng)建的 SentinelWorkspace 。

3. 在 " 直接代理 " 邊欄選項(xiàng)卡上有一個(gè)鏈接，用于下載代理和密鑰，以便在代理配置過(guò)程中使用工作區(qū) ID。 不需要手動(dòng)下載代理。 在以下步驟中，它將安裝為 VM 擴(kuò)展。

4. 在 " 工作區(qū) ID" 右側(cè)，選擇 " 復(fù)制"，然后將該 ID 粘貼到記事本中。

5. 在 " 主鍵" 的右側(cè)，選擇 " 復(fù)制"，然后將該密鑰粘貼到記事本中。

啟用 Azure Stack Vm 的 ASC 監(jiān)視

Azure 安全中心使用與 Azure Stack 捆綁的 Azure Monitor、更新和配置管理 VM 擴(kuò)展。 若要啟用 Azure Monitor、更新和配置管理 擴(kuò)展，請(qǐng)執(zhí)行以下步驟：

1. 在新的瀏覽器選項(xiàng)卡中，登錄到 Azure Stack 門(mén)戶。

2. 請(qǐng)參閱 " 虛擬機(jī) " 頁(yè)，然后選擇要用安全中心保護(hù)的虛擬機(jī)。

3. 選擇“擴(kuò)展”。 此時(shí)會(huì)顯示在此 VM 上安裝的 VM 擴(kuò)展的列表。

4. 選擇 " 添加 " 選項(xiàng)卡。此時(shí)將打開(kāi) " 新建資源 菜單" 邊欄選項(xiàng)卡，其中顯示可用 VM 擴(kuò)展的列表。

5. 選擇 Azure Monitor、更新和配置管理 擴(kuò)展，然后選擇 " 創(chuàng)建"。 此時(shí)將打開(kāi) " 安裝擴(kuò)展 配置" 邊欄選項(xiàng)卡。

6. 在“安裝擴(kuò)展”配置邊欄選項(xiàng)卡上，粘貼在前面步驟中復(fù)制到記事本的“工作區(qū) ID” 和“工作區(qū)密鑰(主密鑰)”。

7. 提供必要的配置設(shè)置后，請(qǐng)選擇 "確定"。

8. 擴(kuò)展安裝完成后，其狀態(tài)將顯示為 " 預(yù)配已成功"。 VM 可能需要長(zhǎng)達(dá)一小時(shí)的時(shí)間才會(huì)出現(xiàn)在安全中心門(mén)戶中。

有關(guān)安裝和配置 Windows 代理的詳細(xì)信息，請(qǐng)參閱 使用安裝向?qū)О惭b代理。

有關(guān) Linux 代理的疑難解答問(wèn)題，請(qǐng)參閱 如何排查適用于 linux 的 Log Analytics 代理的問(wèn)題。

現(xiàn)在，可以從單個(gè)位置監(jiān)視 Azure VM 和非 Azure 計(jì)算機(jī)了。 Azure 計(jì)算 提供所有 vm 和計(jì)算機(jī)的概述以及建議。 每一列代表一組建議，顏色表示 Vm 或計(jì)算機(jī)以及該建議的當(dāng)前安全狀態(tài)。 安全中心還會(huì)在安全警報(bào)中提供對(duì)這些計(jì)算機(jī)的任何檢測(cè)。 

有兩種類型的圖標(biāo)表示在“計(jì)算”邊欄選項(xiàng)卡上：

 非 Azure 計(jì)算機(jī)

 Azure 計(jì)算機(jī)

 備注

參考體系結(jié)構(gòu)中的第二部分將連接 Azure 安全中心的警報(bào)，并將其流式傳輸?shù)?Azure Sentinel。

Azure Sentinel 的作用是從不同的數(shù)據(jù)源引入數(shù)據(jù)，并跨這些數(shù)據(jù)源執(zhí)行數(shù)據(jù)關(guān)聯(lián)。 Azure Sentinel 利用機(jī)器學(xué)習(xí)和 AI，使威脅搜尋、警報(bào)檢測(cè)和威脅響應(yīng)更智能。

若要載入 Azure Sentinel，需要先啟用它，然后連接數(shù)據(jù)源。 Azure Sentinel 附帶了多個(gè) Microsoft 解決方案連接器，它們可供使用，并提供實(shí)時(shí)集成，包括 Microsoft 安全中心、Microsoft 威脅防護(hù)解決方案、Microsoft 365 源 (包括 Office 365) 、Azure Active Directory (Azure AD) 、Azure ATP、Microsoft Cloud App Security 等。 另外，還有適用于非 Microsoft 解決方案的更廣闊的安全生態(tài)系統(tǒng)的內(nèi)置連接器。 你還可以使用通用事件格式、syslog 或具象狀態(tài)傳輸 API，通過(guò) Azure Sentinel 連接數(shù)據(jù)源。

將 Azure Sentinel 與 Azure 安全中心集成的要求

1. Microsoft Azure 訂閱

2. 不是在啟用 Azure 安全中心時(shí)創(chuàng)建的默認(rèn)工作區(qū)的 Log Analytics 工作區(qū)。

3. 啟用了安全中心標(biāo)準(zhǔn)層的 Azure 安全中心。

如果完成了上一節(jié)，則所有三個(gè)要求都應(yīng)該已經(jīng)準(zhǔn)備就緒。

全局先決條件

• 若要啟用 Azure Sentinel，需要獲取 Azure Sentinel 工作區(qū)所在訂閱的參與者權(quán)限。

• 若要使用 Azure Sentinel，需要對(duì)工作區(qū)所屬資源組具有參與者或讀者權(quán)限。

• 可能需要更多的權(quán)限才能連接特定的數(shù)據(jù)源。 不需要其他權(quán)限即可連接到 ASC。

• Azure Sentinel 是付費(fèi)服務(wù)。 有關(guān)詳細(xì)信息，請(qǐng)參閱 Azure Sentinel 定價(jià)。

啟用 Azure Sentinel

1. 使用具有 Sentinelworkspace 的參與者權(quán)限的用戶登錄到 Azure 門(mén)戶。

2. 搜索“Azure Sentinel”并將其選中。 

3. 選擇 添加 。

4. 在 Azure Sentinel 邊欄選項(xiàng)卡中，選擇 " Sentinelworkspace"。

5. 在 Azure Sentinel 中，從 導(dǎo)航 菜單中選擇 "數(shù)據(jù)連接器"。

6. 從 "數(shù)據(jù)連接器" 庫(kù)中，選擇 " Azure 安全中心"，然后選擇 " 打開(kāi)連接器" 頁(yè)面 按鈕。 

7. 在 " 配置" 下，選擇要將警報(bào)流式傳輸?shù)?Azure Sentinel 的訂閱旁邊的 " 連接 "。 只有在具有所需權(quán)限和 ASC 標(biāo)準(zhǔn)層訂閱時(shí)，" 連接 " 按鈕才可用。

8. 現(xiàn)在應(yīng)會(huì)看到 連接狀態(tài) 為 " 正在連接"。 連接后，它將切換到 " 已連接"。

9. 確認(rèn)連接后，可以關(guān)閉 ASC 數(shù)據(jù)連接器 設(shè)置，并刷新頁(yè)面以觀察 Azure Sentinel 中的警報(bào)。 可能需要一段時(shí)間才能開(kāi)始使用 Azure Sentinel 同步日志。 在連接后，你將在 "接收的數(shù)據(jù)" 關(guān)系圖中觀察到數(shù)據(jù)類型的連接狀態(tài)中的數(shù)據(jù)摘要。

10. 你可以選擇是否希望 Azure 安全中心的警報(bào)在 Azure Sentinel 中自動(dòng)生成事件。 在 " 創(chuàng)建事件" 下，選擇 " 啟用 " 以啟用自動(dòng)根據(jù)警報(bào)創(chuàng)建事件的默認(rèn)分析規(guī)則。 然后，你可以在 " 分析" 下的 " 活動(dòng)規(guī)則 " 選項(xiàng)卡中編輯此規(guī)則。

11. 若要在 Azure 安全中心警報(bào)的 Log Analytics 中使用相關(guān)架構(gòu)，請(qǐng)搜索 SecurityAlert。

使用 Azure Sentinel 作為 SIEM 的一個(gè)優(yōu)點(diǎn)是，它提供了跨多個(gè)源的數(shù)據(jù)關(guān)聯(lián)，使你能夠?qū)M織的安全相關(guān)事件進(jìn)行端到端的可見(jiàn)性。

 備注

若要了解如何提高數(shù)據(jù)的可見(jiàn)性并識(shí)別潛在的威脅，請(qǐng)參閱 TechNet 庫(kù)中的 Azure 行動(dòng)手冊(cè)，其中包含一組資源，其中包含可在其中模擬攻擊的實(shí)驗(yàn)室。 不應(yīng)在生產(chǎn)環(huán)境中使用此實(shí)驗(yàn)室。

若要了解有關(guān) Azure Sentinel 的詳細(xì)信息，請(qǐng)參閱以下文章：

• 快速入門(mén)： Azure Sentinel 入門(mén)

• 教程：就地檢測(cè)威脅

成本注意事項(xiàng)

• 如前文所述，Azure 訂閱之外的成本可能包括：

1. Azure 安全中心標(biāo)準(zhǔn)層。 有關(guān)詳細(xì)信息，請(qǐng)參閱 安全中心定價(jià)。

2. Azure Monitor 工作區(qū)提供計(jì)費(fèi)的粒度。 有關(guān)詳細(xì)信息，請(qǐng)參閱 使用 Azure Monitor 日志管理使用情況和成本。

3. Azure Sentinel 是付費(fèi)服務(wù)。 有關(guān)詳細(xì)信息，請(qǐng)參閱 Azure Sentinel 定價(jià)。