Sentinel初心者ガイド - Windowsの接続

■重要なポイント

①Azure Arcに接続しているWindowsマシンのSecurity Eventを収集することができる。

■Windowsマシンを接続

Azure以外のWIndowsマシンは、Azure Arcに接続しているマシンが前提です。

（１）Azureポータルにアクセスし、ログインします。（https://portal.azure.com）

（２）Azure portal の検索バーに「Sentinel」と入力し、 [Microsoft Sentinel] を選択します。

（３）対象のワークスペースを押下します。

（４）[コンテンツ管理] > [コンテンツハブ]を押下します。

（５）検索ボックスで「Windows Security Events」と検索し、「Windows Security Events via AMA」を選択し、[コネクタページを開く]を押下します。

（６）「Configuration」セクションで、[Create data collection rule]を押下します。

（７）「Basic」タブは、ルール名を入力します。

（８）「Resources」タブは、接続する個々のマシンを選択します。

（９）「Collect」タブは、「All Security Events」が選択されていることを確認し、[Review+create]を押下します。

（１０）表示された内容を確認して、[Create]を押下します。

（１１）[Refresh]を押下し、データ収集ルールが作成されたことを確認してください。

■まとめ

Azure Arcに接続しているWindowsマシンのSecurity Eventを収集することができる。