Verbinden Microsoft Sentinel mit anderen Microsoft-Diensten mit einem Windows-Agent-basierten Datenconnector

In diesem Artikel wird beschrieben, wie Sie Microsoft Sentinel mit anderen Windows-Agent-basierten Verbindungen von Microsoft-Diensten verbinden. Microsoft Sentinel verwendet den Azure Monitor-Agent, um integrierte Service-to-Service-Unterstützung für die Datenerfassung aus vielen Azure- und Microsoft 365-Diensten, Amazon Web Services und verschiedenen Windows Server-Diensten bereitzustellen.

Der Azure Monitor-Agent verwendet Datensammlungsregeln (Data Collection Rules, DCRs), um die Daten zu definieren, die von jedem Agent gesammelt werden sollen. Datensammlungsregeln bieten zwei unterschiedliche Vorteile:

• Verwalten Sie Sammlungseinstellungen im großen Stil , während Sie weiterhin eindeutige, bereichsbezogene Konfigurationen für Teilmengen von Computern zulassen. Sie sind unabhängig vom Arbeitsbereich und unabhängig vom virtuellen Computer, was bedeutet, dass sie einmal definiert und computer- und umgebungsübergreifend wiederverwendet werden können. Weitere Informationen finden Sie unter Konfigurieren der Datensammlung für den Azure Monitor-Agent.

• Erstellen Sie benutzerdefinierte Filter , um die genauen Ereignisse auszuwählen, die Sie erfassen möchten. Der Azure Monitor-Agent verwendet diese Regeln, um die Daten an der Quelle zu filtern und nur die gewünschten Ereignisse zu erfassen, während alles andere zurückbleibt. Dies kann Ihnen viel Geld bei den Datenerfassungskosten sparen!

Hinweis

Informationen zur Featureverfügbarkeit in Clouds für US-Behörden finden Sie unter Microsoft Sentinel Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.

Wichtig

Einige Connectors, die auf dem Azure Monitor Agent (AMA) basieren, befinden sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.

Voraussetzungen

• Sie müssen über Lese- und Schreibberechtigungen für den Microsoft Sentinel Arbeitsbereich verfügen.

• Um Ereignisse von einem System zu erfassen, das kein Azure virtueller Computer ist, muss auf dem System Azure Arc installiert und aktiviert sein, bevor Sie den Azure Monitor-Agent-basierten Connector aktivieren.

  Dies umfasst Folgendes:

  • Auf physischen Computern installierte Windows-Server
  • Auf lokalen virtuellen Computern installierte Windows-Server
  • Windows-Server, die auf virtuellen Computern in nicht Azure Clouds installiert sind

• Für den Datenconnector für weitergeleitete Windows-Ereignisse:

  • Die Windows-Ereignissammlung (Windows Event Collection, WEC) muss aktiviert sein und ausgeführt werden, wobei der Azure Monitor-Agent auf dem WEC-Computer installiert ist.
  • Es wird empfohlen, die ASIM-Parser (Advanced Security Information Model) zu installieren, um die vollständige Unterstützung für die Datennormalisierung sicherzustellen. Sie können diese Parser über das Azure-Sentinel GitHub-Repository bereitstellen, indem Sie dort die Schaltfläche Deploy to Azure verwenden.

• Installieren Sie die zugehörige Microsoft Sentinel-Lösung aus dem Content Hub in Microsoft Sentinel. Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.

Erstellen von Datensammlungsregeln über die GRAFISCHE Benutzeroberfläche

1. Wählen Sie Microsoft SentinelKonfigurationsdatenconnectors> aus. Wählen Sie Ihren Connector aus der Liste und dann im Detailbereich Connectorseite öffnen aus. Folgen Sie dann den Anweisungen auf dem Bildschirm auf der Registerkarte Anweisungen , wie im restlichen Abschnitt beschrieben.

2. Vergewissern Sie sich, dass Sie über die entsprechenden Berechtigungen verfügen, wie im Abschnitt Voraussetzungen auf der Connectorseite beschrieben.

3. Wählen Sie unter Konfigurationdie Option +Datensammlungsregel hinzufügen aus. Der Assistent zum Erstellen von Datensammlungsregel wird auf der rechten Seite geöffnet.

4. Geben Sie unter Grundlagen einen Regelnamen ein, und geben Sie ein Abonnement und eine Ressourcengruppe an, in der die Datensammlungsregel (Data Collection Rule, DCR) erstellt wird. Dies muss nicht die gleiche Ressourcengruppe oder dasselbe Abonnement sein, in der sich die überwachten Computer und ihre Zuordnungen befinden, solange sie sich im selben Mandanten befinden.

5. Wählen Sie auf der Registerkarte Ressourcendie Option +Ressource hinzufügen aus, um Computer hinzuzufügen, auf die die Datensammlungsregel angewendet wird. Das Dialogfeld Bereich auswählen wird geöffnet, und Es wird eine Liste der verfügbaren Abonnements angezeigt. Erweitern Sie ein Abonnement, um die zugehörigen Ressourcengruppen anzuzeigen, und erweitern Sie eine Ressourcengruppe, um die verfügbaren Computer anzuzeigen. In der Liste werden Azure virtuellen Computer und Azure Server mit Arc-Unterstützung angezeigt. Sie können die Kontrollkästchen von Abonnements oder Ressourcengruppen aktivieren, um alle darin enthaltenen Computer auszuwählen, oder Sie können einzelne Computer auswählen. Wählen Sie Übernehmen aus, wenn Sie alle Ihre Computer ausgewählt haben. Am Ende dieses Prozesses wird der Azure Monitor-Agent auf allen ausgewählten Computern installiert, auf denen er noch nicht installiert ist.

6. Wählen Sie auf der Registerkarte Sammeln die Ereignisse aus, die Erfasst werden sollen: Wählen Sie Alle Ereignisse oder Benutzerdefiniert aus, um andere Protokolle anzugeben oder Ereignisse mithilfe von XPath-Abfragen zu filtern. Geben Sie Ausdrücke in das Feld ein, die zu bestimmten XML-Kriterien für zu sammelnde Ereignisse ausgewertet werden, und wählen Sie dann Hinzufügen aus. Sie können bis zu 20 Ausdrücke in ein einzelnes Feld und bis zu 100 Felder in einer Regel eingeben.

   Weitere Informationen finden Sie in der Dokumentation zu Azure Monitor.

   Hinweis

   • Der Windows-Sicherheit Events-Connector bietet zwei weitere vordefinierte Ereignissätze, die Sie sammeln können: Allgemein und Minimal.

   • Der Azure Monitor-Agent unterstützt nur XPath-Abfragen für XPath Version 1.0.

   Verwenden Sie zum Testen der Gültigkeit einer XPath-Abfrage das PowerShell-Cmdlet Get-WinEvent mit dem Parameter -FilterXPath . Zum Beispiel:

   $XPath = '*[System[EventID=1035]]'
   Get-WinEvent -LogName 'Application' -FilterXPath $XPath
   

   • Wenn Ereignisse zurückgegeben werden, ist die Abfrage gültig.
   • Wenn Sie die Meldung "Es wurden keine Ereignisse gefunden, die den angegebenen Auswahlkriterien entsprechen" erhalten, ist die Abfrage möglicherweise gültig, aber es gibt keine übereinstimmenden Ereignisse auf dem lokalen Computer.
   • Wenn Sie die Meldung "Die angegebene Abfrage ist ungültig" erhalten, ist die Abfragesyntax ungültig.

7. Wenn Sie alle gewünschten Filterausdrücke hinzugefügt haben, wählen Sie Weiter: Überprüfen + erstellen aus.

8. Wenn die Meldung Überprüfung erfolgreich angezeigt wird , wählen Sie Erstellen aus.

Alle Ihre Datensammlungsregeln, einschließlich der über die API erstellten Regeln, werden auf der Connectorseite unter Konfiguration angezeigt. Von dort aus können Sie vorhandene Regeln bearbeiten oder löschen.

Erstellen von Datensammlungsregeln mithilfe der API

Sie können auch Datensammlungsregeln mithilfe der API erstellen, was ihnen das Leben erleichtern kann, wenn Sie viele Regeln erstellen, z. B. wenn Sie ein MSSP sind. Hier ist ein Beispiel (für den Windows-Sicherheit-Ereignisse über AMA-Connector), das Sie als Vorlage zum Erstellen einer Regel verwenden können:

Anforderungs-URL und -Header

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Anforderungstext

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Weitere Informationen finden Sie unter:

• Datensammlungsregeln (Data Collection Rules, DCRs) in Azure Monitor
• API-Schema für Datensammlungsregeln

Nächste Schritte

Weitere Informationen finden Sie unter:

• Microsoft Sentinel-Lösungskatalog
• Threat Intelligence-Integration in Microsoft Sentinel