Share via

Připojení služby Microsoft Sentinel k jiným službám Microsoftu s využitím datového konektoru založeného na agentech systému Windows

  • Článek

Tento článek popisuje, jak připojit Microsoft Sentinel k jiným služby Microsoft pomocí připojení založených na agentech Windows. Microsoft Sentinel používá základ Azure k poskytování integrované podpory služeb pro příjem dat z mnoha služeb Azure a Microsoft 365, Amazon Web Services a různých služeb Windows Serveru. Existuje několik různých metod, kterými jsou tato připojení provedena.

Tento článek obsahuje informace, které jsou společné pro skupinu datových konektorů založených na agentech Windows.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Agent Azure Monitoru

Některé konektory založené na agentovi služby Azure Monitor (AMA) jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Agent Služby Azure Monitor se v současné době podporuje jenom pro události Zabezpečení Windows, události předávané systémem Windows a události DNS systému Windows.

Agent Azure Monitoru používá pravidla shromažďování dat (DCR) k definování dat, která se mají shromažďovat z každého agenta. Pravidla shromažďování dat nabízejí dvě různé výhody:

  • Spravujte nastavení kolekce ve velkém měřítku a současně povolte jedinečné konfigurace s vymezeným oborem pro podmnožiny počítačů. Jsou nezávislé na pracovním prostoru a nezávisle na virtuálním počítači, což znamená, že je možné je definovat jednou a znovu použít napříč počítači a prostředími. Viz Konfigurace shromažďování dat pro agenta Azure Monitoru.

  • Vytvořte vlastní filtry a vyberte přesné události, které chcete ingestovat. Agent Azure Monitoru tato pravidla používá k filtrování dat ve zdroji a ingestování jenom požadovaných událostí a přitom ponechá všechno ostatní. To vám může ušetřit spoustu peněz v nákladech na příjem dat.

Podívejte se níže, jak vytvořit pravidla shromažďování dat.

Požadavky

  • V pracovním prostoru Microsoft Sentinelu musíte mít oprávnění ke čtení a zápisu.

  • Aby bylo možné shromažďovat události z jakéhokoli systému, který není virtuálním počítačem Azure, musí mít systém nainstalovaný a povolený Azure Arc, než povolíte konektor založený na agentech služby Azure Monitor.

    Sem patří:

    • Servery s Windows nainstalované na fyzických počítačích
    • Servery s Windows nainstalované na místních virtuálních počítačích
    • Servery s Windows nainstalované na virtuálních počítačích v cloudech mimo Azure

  • Specifické požadavky datového konektoru:

    Datový konektor Licencování, náklady a další informace
    Události přeposlané systémem Windows – Musíte mít povolenou a spuštěnou kolekci událostí systému Windows (WEC).
    Nainstalujte agenta Služby Azure Monitor na počítač WEC.
    - Doporučujeme nainstalovat analyzátory ASM (Advanced Security Information Model), abyste zajistili plnou podporu normalizace dat. Tyto analyzátory můžete nasadit z úložiště GitHub pomocí tlačítka Nasadit do Azure.Azure-Sentinel

  • Nainstalujte související řešení Microsoft Sentinel z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Pokyny

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory. V seznamu vyberte konektor a pak v podokně podrobností vyberte Otevřít stránku konektoru. Potom postupujte podle pokynů na obrazovce na kartě Pokyny , jak je popsáno ve zbytku této části.

  2. Ověřte, že máte odpovídající oprávnění, jak je popsáno v části Požadavky na stránce konektoru.

  3. V části Konfigurace vyberte +Přidat pravidlo shromažďování dat. Vpravo se otevře průvodce vytvořením pravidla shromažďování dat.

  4. V části Základy zadejte název pravidla a zadejte předplatné a skupinu prostředků, kde se vytvoří pravidlo shromažďování dat (DCR). Nemusí to být stejná skupina prostředků ani předplatné monitorovaných počítačů a jejich přidružení, pokud jsou ve stejném tenantovi.

  5. Na kartě Zdroje vyberte +Přidat prostředky a přidejte počítače, na které se použije pravidlo shromažďování dat. Otevře se dialogové okno Vybrat obor a zobrazí se seznam dostupných předplatných. Rozbalením předplatného zobrazte skupiny prostředků a rozbalte skupinu prostředků, abyste viděli dostupné počítače. V seznamu se zobrazí virtuální počítače Azure a servery s podporou služby Azure Arc. Zaškrtnutím políček předplatných nebo skupin prostředků můžete vybrat všechny počítače, které obsahují, nebo můžete vybrat jednotlivé počítače. Vyberte Použít , pokud jste zvolili všechny počítače. Na konci tohoto procesu se agent Azure Monitor nainstaluje na všechny vybrané počítače, které ho ještě nemají nainstalované.

  6. Na kartě Shromáždit zvolte události, které chcete shromáždit: vyberte Všechny události nebo Vlastní, pokud chcete zadat jiné protokoly nebo filtrovat události pomocí dotazů XPath (viz poznámka níže). Do pole, které se vyhodnotí jako specifická kritéria XML pro shromažďování událostí, zadejte výrazy a pak vyberte Přidat. Do jednoho pole můžete zadat až 20 výrazů a v pravidlu až 100 polí.

    Další informace o pravidlech shromažďování dat najdete v dokumentaci ke službě Azure Monitor.

    Poznámka:

    • Konektor Zabezpečení Windows Events nabízí dvě předdefinované sady událostí, které můžete shromažďovat: Společné a minimální.

    • Agent Azure Monitor podporuje pouze dotazy XPath pro XPath verze 1.0.

  7. Po přidání všech požadovaných výrazů filtru vyberte Další: Zkontrolovat a vytvořit.

  8. Až se zobrazí zpráva Ověření bylo úspěšné, vyberte Vytvořit.

Všechna pravidla shromažďování dat (včetně pravidel vytvořených prostřednictvím rozhraní API) se zobrazí v části Konfigurace na stránce konektoru. Odsud můžete upravit nebo odstranit existující pravidla.

Tip

K otestování platnosti dotazu XPath použijte rutinu PowerShellu Get-WinEvent s parametrem -FilterXPath . Následující skript ukazuje příklad:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • Pokud se vrátí události, dotaz je platný.
  • Pokud se zobrazí zpráva "Nebyly nalezeny žádné události, které odpovídají zadaným kritériím výběru", může být dotaz platný, ale na místním počítači neexistují žádné odpovídající události.
  • Pokud se zobrazí zpráva Zadaný dotaz je neplatný, syntaxe dotazu je neplatná.

Vytváření pravidel shromažďování dat pomocí rozhraní API

Pravidla shromažďování dat můžete vytvořit také pomocí rozhraní API (viz schéma), což může usnadnit život, pokud vytváříte mnoho pravidel (například pokud jste poskytovatelem služeb mssp). Tady je příklad (pro Zabezpečení Windows Události prostřednictvím konektoru AMA), který můžete použít jako šablonu pro vytvoření pravidla:

Adresa URL a hlavička požadavku

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Text požadavku

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Podívejte se na tento úplný popis pravidel shromažďování dat z dokumentace ke službě Azure Monitor.

Agent Log Analytics (starší verze)

Agent Log Analytics bude vyřazen 31. srpna 2024. Pokud ve svém nasazení Microsoft Sentinelu používáte agenta Log Analytics, doporučujeme začít plánovat migraci do AMA. Další informace najdete v tématu Migrace AMA pro Microsoft Sentinel.

Požadavky

  • Musíte mít oprávnění ke čtení a zápisu v pracovním prostoru služby Log Analytics a všech pracovních prostorech obsahujících počítače, ze kterých chcete shromažďovat protokoly.
  • Kromě všech rolí Microsoft Sentinelu musíte mít roli Přispěvatel Log Analytics v řešení Zabezpečení Přehledy (Microsoft Sentinel).

Pokyny

  1. V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory.

  2. Vyberte svoji službu (DNS nebo bránu Windows Firewall) a pak vyberte Otevřít stránku konektoru.

  3. Nainstalujte a připojte agenta do zařízení, které generuje protokoly.

    Typ počítače Pokyny
    Pro virtuální počítač Azure s Windows 1. V části Zvolte, kde se má agent nainstalovat, rozbalte možnost Instalovat agenta na virtuálním počítači Azure s Windows.

    2. Vyberte odkaz Stáhnout a nainstalovat agenta pro virtuální počítače > Azure s Windows.

    3. V okně Virtuální počítače vyberte virtuální počítač, na který chcete agenta nainstalovat, a pak vyberte Připojení. Tento krok opakujte pro každý virtuální počítač, který chcete připojit.
    Pro jakýkoli jiný počítač s Windows 1. V části Zvolte, kde se má agent nainstalovat, rozbalte možnost Instalovat agenta na počítač s Windows mimo Azure.

    2. Vyberte odkaz Stáhnout a nainstalovat agenta pro počítače > mimo Azure s Windows.

    3. V okně Správa agentů na kartě Servery s Windows vyberte odkaz Stáhnout agenta systému Windows pro 32bitové nebo 64bitové systémy podle potřeby.

    4. Pomocí staženého spustitelného souboru nainstalujte agenta do systémů Windows podle vašeho výběru a nakonfigurujte ho pomocí ID a klíčů pracovního prostoru, které se zobrazí pod odkazy ke stažení v předchozím kroku.

Pokud chcete systémům Windows povolit bez nezbytného připojení k internetu streamovat události do Služby Microsoft Sentinel, stáhněte a nainstalujte bránu Log Analytics na samostatný počítač pomocí odkazu Stáhnout bránu Log Analytics na stránce Správa agentů, aby fungovala jako proxy server. Stále potřebujete nainstalovat agenta Log Analytics do každého systému Windows, jehož události chcete shromáždit.

Další informace o tomto scénáři najdete v dokumentaci k bráně Log Analytics.

Další možnosti instalace a další podrobnosti najdete v dokumentaci k agentu Log Analytics.

Určení protokolů k odeslání

Pro konektory Windows DNS Serveru a brány Windows Firewall vyberte tlačítko Instalovat řešení . U starší verze konektoru Událostí zabezpečení zvolte sadu událostí, kterou chcete odeslat, a vyberte Aktualizovat. Další informace najdete v tématu Sady událostí zabezpečení Systému Windows, které je možné odeslat do služby Microsoft Sentinel.

Data pro tyto služby můžete najít a dotazovat pomocí názvů tabulek v příslušných oddílech na stránce s referenčními informacemi o datových konektorech.

Řešení potíží s datovým konektorem Windows DNS Serveru

Pokud se vaše události DNS nezobrazují v Microsoft Sentinelu:

  1. Ujistěte se, že jsou povolené protokoly analýzy DNS na vašich serverech.
  2. Přejděte do Azure DNS Analytics.
  3. V oblasti Konfigurace změňte libovolné nastavení a uložte provedené změny. Pokud potřebujete, změňte nastavení zpět a pak změny znovu uložte.
  4. Zkontrolujte službu Azure DNS Analytics a ujistěte se, že se události a dotazy zobrazují správně.

Další informace najdete v tématu Shromáždění přehledů o vaší infrastruktuře DNS pomocí řešení DNS Analytics Preview.

Další kroky

Další informace naleznete v tématu: