この記事は、Azure Arc 対応マシンを Microsoft Sentinel にオンボードして、セキュリティ関連イベントの収集を開始するのに役立ちます。 Microsoft Sentinel は、企業全体でのアラートの検出、脅威の可視化、予防的ハンティング、脅威への対応のための単一ソリューションを提供します。
前提条件
開始する前に、次の要件を満たしていることを確認してください。
- Azure Arc にオンボードされた 1 つ以上のマシン。
- Arc 対応マシンに Azure Monitor エージェント をインストールして有効にする必要があります。 詳細については、「 Azure Arc 対応サーバー上の Azure Monitor エージェントのデプロイ オプション」を参照してください。
- Log Analytics ワークスペース。 Log Analytics ワークスペースの詳細については、「 Log Analytics ワークスペースアーキテクチャの設計」を参照してください。
- サブスクリプションで Microsoft Sentinel を有効にする必要があります。
Arc 対応サーバーで Azure Monitor エージェントを有効にする
Microsoft Sentinel には、Microsoft ソリューション用の多くの データ コネクタ が付属しており、すぐに使用でき、リアルタイムの統合が提供されます。 物理マシンと仮想マシンの場合、Azure Monitor エージェントは Microsoft Sentinel に情報を転送できます。
Azure Monitor エージェント拡張機能をインストールすることで、Arc 対応サーバーに Azure Monitor エージェントをデプロイできます。 これは、各マシンで個別に、または Azure Policy または Azure Automation を使用して大規模に行うことができます。 詳細については、「 Azure Arc 対応サーバー上の Azure Monitor エージェントのデプロイ オプション」を参照してください。
Microsoft Sentinel を有効にしてデータ コネクタを設定する
Azure Monitor エージェントがインストールされたら、Microsoft Sentinel を有効にし、Arc 対応サーバーからセキュリティ関連のイベントの収集を開始するためのデータ コネクタを設定できます。 詳細については、「 クイック スタート: Microsoft Sentinel のオンボーディング」を参照してください。
Arc 対応サーバーが接続されると、Microsoft Sentinel へのデータのストリーミングが開始され、操作を開始する準備が整います。 組み込みのブックでログを表示したり、Log Analytics でクエリを作成してデータを調査したりできます。
次のステップ
Microsoft Sentinel を使って脅威の検出を開始しましょう。