Teilen über

Verwenden einer benutzerdefinierten Datensammlungsregel (Data Collection Rule, DCR) für die Defender for Servers-Erfassung

Sie können eine benutzerdefinierte Datensammlungsregel (Data Collection Rule, DCR) verwenden, um zu steuern, welche Windows-Sicherheitsereignisse an Log Analytics für Defender für Server gesendet werden. Dies kann dazu beitragen, das Aufnahmevolumen zu reduzieren, indem Sie ereignisse herausfiltern, die Sie nicht benötigen.

Mit einem benutzerdefinierten DCR können Sie:

  • Filtern von Sicherheitsereignissen mit hohem Volumen
  • Erfassen einer bestimmten Teilmenge von Windows-Sicherheitsereignissen
  • Anwenden von Transformationen vor der Aufnahme

Voraussetzungen

Stellen Sie vor dem Erstellen eines benutzerdefinierten DCR folgendes sicher:

  • Azure Monitor Agent (AMA) wird auf den Computern installiert, auf denen Daten an Log Analytics gesendet werden.

  • Ein Log Analytics-Arbeitsbereich ist in derselben Region wie der DCR vorhanden.

Erstellen eines DCR

  1. Melde dich beim Azure-Portal an.

  2. Wechseln Sie zu " Monitor - Einstellungen = Datensammlungsregeln+ Erstellen.

  3. Geben Sie einen Namen und ein Abonnement ein.

  4. Wählen oder erstellen Sie eine Ressourcengruppe.

  5. Wählen Sie die Region aus. Die Region muss mit der Region des Log Analytics-Arbeitsbereichs übereinstimmen, an den Sie senden werden.

    • Wählen Sie unter PlattformtypWindows aus, um Windows-Sicherheitsereignisse für den Vorteil bei der SecurityEvent Erfassung zu sammeln. (Wählen Sie Linux oder Alle aus, wenn Sie diese Protokolle auch benötigen.)

    • Lassen Sie unter Datensammlungsendpunkt die Einstellung <kein> unverändert, es sei denn, Sie nutzen einen Datensammlungsendpunkt für Private Link oder eine andere erweiterte Netzwerkeinrichtung.

  6. Wählen Sie "Weiter" aus: Ressourcen >.

  7. Wählen Sie +Ressourcen hinzufügen und die relevanten Ressourcen aus.

  8. Wenn in Ihrer Umgebung ein Datensammlungsendpunkt (z. B. bei Verwendung eines Private Link) erforderlich ist, wählen Sie + Endpunkt erstellen aus und erstellen Sie ihn in derselben Region wie den DCR.

  9. Auswählen Weiter : Sammeln und liefern >.

  10. Wählen Sie die Option +Datenquelle hinzufügen.

  11. Wählen Sie für den DatenquellentypWindows-Ereignisprotokolle aus, und wählen Sie "Einfach " oder "Benutzerdefiniert" aus:

    • Basic:
      • Wählen Sie unter SicherheitErfolgsüberwachung und/oder Fehlerüberwachung aus, um Windows-Sicherheitsereignisse an die SecurityEvent-Tabelle zu senden.
      • Wählen Sie bei Bedarf Anwendungs - oder Systemereignisprotokolle aus, um zusätzliche Ereignisse zu sammeln. Diese Ereignisse werden an die Tabelle Event gesendet und als reguläre Erfassung berechnet. Sie werden nicht durch den Ingestion-Vorteil von Defender for Servers abgedeckt.
    • Benutzerdefiniert:

      • Geben Sie eine XPath-Abfrage unter "XPath-Abfragen verwenden" ein, um Ereignisprotokolle zu filtern und die Datensammlung einzuschränken. Beispiel: Security!*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]

        Screenshot des Fensters

  12. Wählen Sie Hinzufügen aus.

  13. Wählen Sie "Weiter" aus: Ziel >.

  14. Wählen Sie +Ziel hinzufügen.

    Screenshot des Bereichs

  15. Wählen Sie für den ZieltypAzure Monitor Logs aus.

  16. Wählen Sie mindestens einen Log Analytics-Arbeitsbereich in derselben Region wie der DCR aus.

  17. Wählen Sie Speichern aus.

  18. Wählen Sie "Weiter: Tags" > und fügen Sie alle Tags hinzu, die Sie für die Ressourcenorganisation oder die Kostenverwaltung benötigen.

  19. Wählen Sie Weiter: Überprüfen + erstellen > aus.

  20. Wählen Sie "Erstellen" aus, um den DCR bereitzustellen.

Überprüfen der Datenerfassung

Lassen Sie nach der Bereitstellung des DCR einige Minuten verstreichen, bis Daten zu fließen beginnen.

Führen Sie die folgende KQL-Abfrage im Log Analytics-Arbeitsbereich aus:

SecurityEvent
| take 10

JSON-Beispielfragment

Das folgende Beispiel zeigt eine DCR-Konfiguration, die ausgewählte Windows-Sicherheitsereignisse sammelt:

{
  "dataSources": {
    "windowsEventLogs": [
      {
        "name": "SecurityEvents",
        "streams": ["Microsoft-SecurityEvent"],
        "xPathQueries": [
          "Security!*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]"
        ]
      }
    ]
  },
  "destinations": {
    "logAnalytics": [
      { "workspaceId": "<workspace-id>" }
    ]
  }
}

Bereitstellen mithilfe von Azure-Richtlinien

Für große Umgebungen können Sie Azure-Richtlinie verwenden, um Datensammlungsregeln (Data Collection Rules, DCRs) automatisch für Sicherheitsereignisse über mehrere Abonnements hinweg zu erstellen und zuzuweisen, indem Sie die Initiative "Deploy AMA DCR for Security Events collection " verwenden.

Verwandte Inhalte

  • Last updated on