Verbinden von Microsoft Sentinel mit anderen Microsoft-Diensten über einen Windows-Agent-basierten Datenconnector
In diesem Artikel wird beschrieben, wie Sie Microsoft Sentinel mithilfe einer Windows-Agent-basierten Verbindung mit anderen Microsoft-Diensten verbinden. Microsoft Sentinel verwendet Azure als Grundlage, um integrierte Dienst-zu-Dienst-Unterstützung für die Datenerfassung aus zahlreichen Azure- und Microsoft 365-Diensten, Amazon Web Services und verschiedenen Windows Server-Diensten bereitzustellen. Es gibt einige unterschiedliche Methoden, mit denen diese Verbindungen hergestellt werden.
Dieser Artikel enthält Informationen, die für Gruppen von Windows-Agent-basierten Datenconnectors gemeinsam zutreffen.
Hinweis
Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.
Azure Monitor-Agent
Einige Connectors, die auf dem Azure Monitor-Agent (AMA) basieren, befinden sich derzeit in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Der Azure Monitor-Agent wird derzeit nur für Windows-Sicherheitsereignisse, weitergeleitete Windows-Ereignisse und Windows DNS-Ereignisse unterstützt.
Der Azure Monitor-Agent verwendet Datensammlungsregeln (Data Collection Rules, DCRs) , um die Daten zu konfigurieren, die von den einzelnen Agents gesammelt werden sollen. Datensammlungsregeln haben zwei Vorteile:
Sie ermöglichen Ihnen das allgemeine Verwalten von Sammlungseinstellungen, während Sie gleichzeitig eindeutige, bereichsbezogene Konfigurationen für Untergruppen von Computern festlegen können. Dank ihrer Unabhängigkeit von Arbeitsbereichen und virtuellen Computern können sie einmalig definiert und für verschiedene Computer und Umgebungen wiederverwendet werden. Weitere Informationen finden Sie unter Konfigurieren der Datensammlung für den Azure Monitor-Agent.
Erstellen Sie benutzerdefinierte Filter, um genau die Ereignisse auszuwählen, die Sie erfassen möchten. Der Azure Monitor-Agent filtert anhand dieser Regeln die Daten in der Quelle und erfasst nur die von Ihnen gewünschten Ereignisse, während alles andere unberücksichtigt bleibt. Dies kann Ihnen viel Geld bei den Kosten für die Datenerfassung sparen!
Informationen zum Erstellen von Datensammlungsregeln finden Sie unten.
Voraussetzungen
Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich.
Um Ereignisse von einem System zu erfassen, das kein virtueller Azure-Computer ist, muss auf dem System Azure Arc installiert und aktiviert sein, bevor Sie den Azure Monitor-Agent-basierten Connector aktivieren.
Dies schließt Folgendes ein:
- Auf physischen Computern installierte Windows-Server
- Auf lokalen virtuellen Computern installierte Windows-Server
- Auf virtuellen Computern in Nicht-Azure-Clouds installierte Windows-Server
Datenconnectorspezifische Anforderungen:
Datenconnector Lizenzierung, Kosten und andere Informationen Weitergeleitete Windows-Ereignisse – Sie müssen Windows Event Collection (WEC) aktiviert und ausgeführt haben.
Installieren Sie Azure Monitor-Agent auf dem WEC-Computer.
– Es wird empfohlen, die ASIM-Parser (Advanced Security Information Model) zu installieren, um die vollständige Unterstützung für die Datennormalisierung sicherzustellen. Sie können diese Parser aus demAzure-SentinelGitHub-Repository über die dortige Schaltfläche In Azure bereitstellen.Installieren Sie die zugehörige Microsoft Sentinel-Lösung aus dem Content Hub in Microsoft Sentinel. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.
Anweisungen
Wählen Sie im Microsoft Sentinel-Navigationsmenü die Option Datenconnectors aus. Wählen Sie in der Liste Ihren Connector und dann im Detailbereich die Option Connectorseite öffnen aus. Folgen Sie anschließend wie im Rest dieses Abschnitts beschrieben den Anweisungen auf dem Bildschirm auf der Registerkarte Anweisungen.
Vergewissern Sie sich, dass Sie über die entsprechenden Berechtigungen verfügen, wie im Abschnitt Voraussetzungen auf der Seite „Connector“ beschrieben.
Wählen Sie unter Konfiguration die Option + Datensammlungsregeln hinzufügen aus. Der Assistent zum Erstellen von Datensammlungsregel wird auf der rechten Seite geöffnet.
Geben Sie unter Grundlagen einen Regelnamen ein, und geben Sie ein Abonnement und eine Ressourcengruppe an, in denen die Datensammlungsregel (DCR) erstellt werden soll. Dies muss nicht dieselbe Ressourcengruppe oder dasselbe Abonnement sein, in denen sich die überwachten Computer und ihre Zuordnungen befinden, solange sie sich im selben Mandanten befinden.
Wählen Sie auf der Registerkarte Ressourcen die Option +Ressourcen hinzufügen aus, um Computer hinzuzufügen, für die die Datensammlungsregel gelten soll. Das Dialogfeld Bereich auswählen wird geöffnet, und es wird eine Liste der verfügbaren Abonnements angezeigt. Erweitern Sie ein Abonnement, um seine Ressourcengruppen anzuzeigen, und erweitern Sie eine Ressourcengruppe, um die verfügbaren Computer anzuzeigen. In der Liste werden virtuelle Azure-Computer und Server mit Azure Arc-Unterstützung angezeigt. Sie können die Kontrollkästchen von Abonnements oder Ressourcengruppen aktivieren, um alle darin enthaltenen Computer auszuwählen, oder Sie können einzelne Computer auswählen. Wählen Sie Anwenden aus, wenn Sie alle Ihre Computer ausgewählt haben. Am Ende dieses Prozesses wird der Azure Monitor-Agent auf allen ausgewählten Computern installiert, auf denen er noch nicht installiert ist.
Wählen Sie auf der Registerkarte Sammeln die Ereignisse aus, die Sie sammeln möchten: Wählen Sie Alle Ereignisse oder Benutzerdefiniert aus, um andere Protokolle anzugeben oder Ereignisse mit XPath-Abfragen zu filtern (siehe Hinweis unten). Geben Sie Ausdrücke in das Feld ein, die zu bestimmten XML-Kriterien für zu erfassende Ereignisse ausgewertet werden, und wählen Sie dann Hinzufügen aus. Sie können bis zu 20 Ausdrücke in ein einzelnes Feld und bis zu 100 Felder in eine Regel eingeben.
Weitere Informationen zu Datensammlungsregeln finden Sie in der Dokumentation zu Azure Monitor.
Hinweis
Der Connector „Windows-Sicherheitsereignisse“ verfügt über zwei andere vordefinierte Ereignissätze, die Sie für die Sammlung auswählen können: Allgemein und Minimal.
Der Azure Monitor-Agent unterstützt XPath-Abfragen nur für XPath, Version 1.0 .
Wenn Sie alle gewünschten Filterausdrücke hinzugefügt haben, wählen Sie Weiter: Überprüfen + erstellen aus.
Wenn die Meldung „Überprüfung erfolgreich“ angezeigt wird, wählen Sie Erstellen aus.
Alle Ihre Datensammlungsregeln (einschließlich der über die API erstellten Regeln) werden unter Konfiguration auf der Connectorseite angezeigt. Dort können Sie vorhandene Regeln bearbeiten oder löschen.
Tipp
Verwenden Sie zum Testen der Gültigkeit einer XPath-Abfrage das PowerShell-Cmdlet Get-WinEvent mit dem Parameter -FilterXPath. Das folgende Skript ist ein Beispiel hierfür:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Werden Ereignisse zurückgegeben, ist die Abfrage gültig.
- Wenn Sie die Meldung „Es wurden keine Ereignisse gefunden, die mit den angegebenen Auswahlkriterien übereinstimmen“ erhalten, ist die Abfrage möglicherweise gültig, aber es sind keine übereinstimmenden Ereignisse auf dem lokalen Computer vorhanden.
- Wenn Sie die Meldung „Die angegebene Abfrage ist ungültig“ erhalten, ist die Abfragesyntax ungültig.
Erstellen von Datensammlungsregeln mithilfe der API
Sie können Datensammlungsregeln auch mithilfe der API erstellen (siehe Schema), was ihnen das Leben erleichtern kann, wenn Sie viele Regeln erstellen (z. B. wenn Sie ein MSSP sind). Hier ist ein Beispiel angegeben (für den Connector Sicherheitsrelevante Windows-Ereignisse über Azure Monitor-Agent), das Sie als Vorlage für die Erstellung einer Regel verwenden können:
Anforderungs-URL und -Header
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Anforderungstext
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Lesen Sie sich die vollständige Beschreibung der Datensammlungsregeln in der Azure Monitor-Dokumentation durch.
Log Analytics-Agent (Legacy)
Der Log Analytics-Agent wird am 31. August 2024 außer Betrieb genommen. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwenden, empfiehlt es sich, mit der Planung der Migration zum Azure Monitor-Agent zu beginnen. Weitere Informationen finden Sie unter AMA-Migration für Microsoft Sentinel.
Voraussetzungen
- Sie benötigen Lese- und Schreibberechtigungen für den Log Analytics-Arbeitsbereich und jeden Arbeitsbereich, der Computer enthält, von denen Sie Protokolle sammeln möchten.
- Zusätzlich zu allen Microsoft Sentinel-Rollen müssen Sie noch die Rolle Log Analytics-Mitwirkender für die SecurityInsights-Lösung (Microsoft Sentinel) in diesen Arbeitsbereichen besitzen.
Anweisungen
Wählen Sie im Microsoft Sentinel-Navigationsmenü die Option Datenconnectors aus.
Wählen Sie Ihren Dienst(DNS oder Windows Firewall) und dann Connectorseite öffnen aus.
Installieren und registrieren Sie den Agent auf dem Gerät, das die Protokolle generiert.
Computertyp Anweisungen Für einen virtuellen Windows-Computer in Azure 1. Erweitern Sie unter Wählen Sie aus, wo der Agent installiert werden soll die Option Agent auf virtuellem Windows-Computer in Azure installieren.
2. Wählen Sie den Link "Herunterladen und Installieren" für virtuelle Azure Windows-Computer > aus.
3. Klicken Sie auf dem Blatt Virtuelle Computer auf eine VM, auf der der Agent installiert werden soll, und klicken Sie dann auf Verbinden. Wiederholen Sie diesen Schritt für jeden virtuellen Computer, den Sie verbinden möchten.Für alle anderen Windows-Computer 1. Erweitern Sie unter Wählen Sie aus, wo der Agent installiert werden soll die Option Agent auf Windows-Computer (kein Azure) installieren.
2. Wählen Sie den Download- und Installations-Agent für Nicht-Azure Windows-Computerverknüpfung > aus.
3. Wählen Sie auf dem Blatt Agents-Verwaltung auf der Registerkarte Windows-Server je nach Eignung den Link Windows-Agent herunterladen für 32-Bit- oder 64-Bit-Systeme aus.
4. Installieren Sie den Agent mithilfe der heruntergeladenen ausführbaren Datei auf den Windows-Systemen Ihrer Wahl, und konfigurieren Sie ihn mit der Arbeitsbereich-ID und den Schlüsseln, die unter den Downloadlinks im vorherigen Schritt angezeigt werden.
Damit auch Windows-Systeme ohne die erforderliche Internetverbindung weiterhin Ereignisse an Microsoft Sentinel streamen können, laden Sie das Log Analytics Gateway herunter, und installieren Sie es auf einem separaten Computer, der als Proxy fungiert. Dazu verwenden Sie auf der Seite Agent-Verwaltung den Link Log Analytics-Gateway herunterladen. Sie müssen dennoch den Log Analytics-Agent auf allen Windows-Systemen installieren, deren Ereignisse Sie erfassen möchten.
Weitere Informationen zu diesem Szenario finden Sie in der Log Analytics-Gateway-Dokumentation.
Weitere Installationsmöglichkeiten und Informationen finden Sie in der Log Analytics-Agent-Dokumentation.
Bestimmen der zu sendenden Protokolle
Wählen Sie für den Windows DNS-Server- und Windows Firewall-Connector jeweils die Schaltfläche Lösung installieren aus. Wählen Sie für den Legacy-Connector „Windows-Sicherheitsereignisse“ den Ereignissatz, den Sie senden möchten, und dann die Option Aktualisieren aus. Weitere Informationen finden Sie unter Windows-Sicherheitsereignisse, die an Microsoft Sentinel gesendet werden können.
Sie können die Daten für diese Dienste suchen und abfragen, indem Sie die Tabellennamen in den entsprechenden Abschnitten auf der Seite mit der Referenz zu Datenconnectors verwenden.
Problembehandlung bei Ihrem Windows-DNS-Serverdatenconnector
Wenn Ihre DNS-Ereignisse nicht in Microsoft Sentinel angezeigt werden:
- Stellen Sie sicher, dass DNS-Analyseprotokolle auf Ihren Servern aktiviert sind.
- Wechseln Sie zu Azure DNS-Analyse.
- Ändern Sie im Bereich Konfiguration beliebige Einstellungen und speichern Sie Ihre Änderungen. Ändern Sie Ihre Einstellungen bei Bedarf zurück und speichern Sie Ihre Änderungen erneut.
- Überprüfen Sie Ihre Azure DNS-Analyse, um sicherzustellen, dass Ihre Ereignisse und Abfragen ordnungsgemäß angezeigt werden.
Weitere Informationen finden Sie unter Einblicke in Ihre DNS-Infrastruktur mit der DNS-Analyse Vorschau-Lösung.
Nächste Schritte
Weitere Informationen finden Sie unter