Conexión de Microsoft Sentinel a otros servicios de Microsoft con un conector de datos basado en el agente de Windows

En este artículo se describe cómo conectar Microsoft Sentinel a otros servicios de Microsoft mediante conexiones basadas en el agente de Windows. Microsoft Sentinel usa la base de Azure para proporcionar compatibilidad integrada entre servicios para la ingesta de datos de muchos servicios de Azure y Microsoft 365, Amazon Web Services y varios servicios de Windows Server. Estas conexiones se establecen mediante varios métodos diferentes.

En este artículo se presenta información común del grupo de conectores de datos basados en el agente de Windows.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Agente de Azure Monitor

Algunos conectores basados en el agente de Azure Monitor (AMA) se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

El agente de Azure Monitor actualmente solo se admite para eventos de seguridad de Windows, eventos reenviados de Windows y eventos de DNS de Windows.

El agente de Azure Monitor usa reglas de recopilación de datos (DCR) para definir los datos que se recopilan de cada agente. Las reglas de recopilación de datos ofrecen dos ventajas distintas:

• Permiten administrar la configuración de la recopilación a gran escala y, al mismo tiempo, habilitan configuraciones únicas con ámbito para subconjuntos de máquinas. Son independientes del área de trabajo e independientes de la máquina virtual, lo que significa que se pueden definir una vez y reutilizarlas en distintas máquinas y entornos. Consulte Configuración de la recopilación de datos para el agente de Azure Monitor.

• Cree filtros personalizados para elegir los eventos exactos que quiere ingerir. El agente de Azure Monitor usa estas reglas para filtrar los datos en el origen e ingerir solo los eventos que quiera, a la vez que se olvida del resto. Esto puede ahorrar mucho dinero en costos de ingesta de datos.

Consulte a continuación cómo crear reglas de recopilación de datos.

Requisitos previos

• Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.

• Para recopilar eventos de cualquier sistema que no sea una máquina virtual de Azure, el sistema debe tener Azure Arc instalado y habilitado antes de habilitar el conector basado en agente de Azure Monitor.

  Esto incluye:

  • Servidores Windows instalados en máquinas físicas
  • Servidores Windows instalados en máquinas virtuales locales
  • Servidores Windows instalados en máquinas virtuales en nubes que no son de Azure

• Requisitos específicos del conector de datos:

  Conector de datos

  Licencias, costos y otra información

  Eventos reenviados de Windows

  - Debe tener habilitada y en ejecución la recopilación de eventos de Windows (WEC). Instale el agente de Azure Monitor en la máquina WEC. - Se recomienda instalar los analizadores del Modelo avanzado de información de seguridad (ASIM) para garantizar la compatibilidad total con la normalización de datos. Puede implementar estos analizadores desde el repositorio de GitHub de Azure-Sentinel mediante el botón Implementar en Azure que aparece allí.

• Instale la solución de Microsoft Sentinel relacionada desde el centro de contenido de Microsoft Sentinel. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.

Instrucciones

1. En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos. Seleccione su conector de la lista y, a continuación, seleccione Abrir la página del conector en el panel de detalles. A continuación, siga las instrucciones en pantalla debajo de la pestaña Instrucciones, tal como se describe en el resto de esta sección.

2. Compruebe que tiene los permisos adecuados, tal como se describe en la sección Requisitos previos de la página del conector.

3. En Configuración, seleccione +Agregar regla de recopilación de datos. El Asistente para crear reglas de recopilación de datos se abrirá a la derecha.

4. En Aspectos básicos, escriba una regla de nombre y especifique una suscripción y un grupo de recursos donde se creará la regla de recopilación de datos (DCR). No tiene que ser el mismo grupo de recursos o suscripción en el que se encuentran las máquinas supervisadas y sus asociaciones, siempre y cuando estén en el mismo inquilino.

5. En la pestaña Recursos, seleccione +Agregar recursos para agregar máquinas a las que se aplicará la regla de recopilación de datos. Se abrirá el cuadro de diálogo Seleccionar un ámbito y verá una lista de suscripciones disponibles. Expanda una suscripción para ver sus grupos de recursos y expanda un grupo de recursos para ver las máquinas disponibles. Verá las máquinas virtuales de Azure y los servidores habilitados para Azure Arc en la lista. Puede marcar las casillas de suscripciones o grupos de recursos para seleccionar todas las máquinas que contienen, o puede seleccionar máquinas individuales. Seleccione Aplicar cuando haya elegido todas las máquinas. Al final de este proceso, el agente de Azure Monitor se instalará en las máquinas seleccionadas que aún no lo tengan instalado.

6. En la pestaña Recopilar, elija los eventos que le gustaría recopilar: seleccione Todos los eventos o Personalizado para especificar otros registros o filtrar eventos usando las consultas de XPath (consulte la nota que tiene a continuación). Escriba expresiones en el cuadro que se evalúen como criterios XML específicos para los eventos que se recopilan y, a continuación, seleccione Agregar. Puede escribir hasta 20 expresiones en un solo cuadro y hasta 100 cuadros en una regla.

   Obtenga más información sobre las reglas de recopilación de datos en la documentación de Azure Monitor.

   Nota

   • El conector de eventos de seguridad de Windows ofrece otros dos conjuntos de eventos precompilados que puede recopilar: el común y el mínimo.

   • El agente de Azure Monitor admite consultas XPath solo para la versión 1.0 de XPath .

7. Cuando haya agregado todas las expresiones de filtro que quiera, seleccione Siguiente: Revisar y crear.

8. Cuando vea el mensaje "Validación superada", seleccione Crear.

Verá todas las reglas de recopilación de datos (incluidas las creadas a través de la API) en Configuración en la página del conector. Desde allí, puede editar o eliminar las reglas existentes.

Sugerencia

Use el cmdlet de PowerShell Get-WinEvent con el parámetro -FilterXPath para probar la validez de una consulta XPath. En el script siguiente se muestra un ejemplo:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath

• Si se devuelven eventos, la consulta es válida.
• Si recibe el mensaje “No se encontraron eventos que coincidan con los criterios de selección especificados”, la consulta puede ser válida, pero no hay eventos coincidentes en el equipo local.
• Si recibe el mensaje “La consulta especificada no es válida”, la sintaxis de la consulta no es válida.

Creación de reglas de recopilación de datos mediante la API

También puede crear reglas de recopilación de datos mediante la API (consulte el esquema), lo que le puede facilitar la vida si va a crear muchas reglas (por ejemplo, si es un MSSP). A continuación, se muestra un ejemplo (para los eventos de seguridad de Windows a través del conector AMA) que puede usar como plantilla para crear una regla:

Encabezado y dirección URL de solicitud

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Cuerpo de la solicitud

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Consulte esta descripción completa de las reglas de recopilación de datos de la documentación de Azure Monitor.

Agente de Log Analytics (heredado)

El agente de Log Analytics se retirará el 31 de agosto de 2024. Si usa el agente de Log Analytics en la implementación de Microsoft Sentinel, le recomendamos que empiece a planear la migración al AMA. Para más información, vea Migración de AMA para Microsoft Sentinel.

Requisitos previos

• Debe tener permisos de lectura y escritura en el área de trabajo de Log Analytics y en cualquier área de trabajo que contenga máquinas de las que quiera recopilar registros.
• Debe tener el rol Colaborador de Log Analytics en la solución SecurityInsights (Microsoft Sentinel) de esas áreas de trabajo, además de cualquier rol de Microsoft Sentinel.

Instructions

1. En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos.

2. Seleccione el servicio (DNS o Windows Firewall [Firewall de Windows]), y después Open connector page (Abrir página del conector).

3. Instale e incorpore el agente en el dispositivo que genera los registros.

   Tipo de máquina	Instrucciones
   Para una máquina virtual de Azure Windows	1. En Choose where to install the agent (Elegir dónde instalar el agente), expanda Install agent on Azure Windows virtual machine (Instalar el agente en la máquina virtual Windows de Azure). 2. Seleccione el vínculo Descargar e instalar agente para máquinas virtuales > Windows de Azure. 3. En el panel Máquinas virtuales, seleccione una máquina virtual en la que quiera instalar el agente y, después, seleccione Conectar. Repita este paso para cada VM que quiera conectar.
   Para cualquier otra máquina Windows	1. En Choose where to install the agent (Elegir dónde instalar el agente), expanda Install agent on non-Azure Windows Machine (Instalar el agente en la máquina virtual Windows que no es de Azure). 2. Seleccione el vínculo Descargar e instalar agente para máquinas > Windows que no son de Azure. 3. En el panel Administración de agentes, en la pestaña Servidores Windows, seleccione el vínculo Download Windows Agent (Descargar el agente de Windows) para sistemas de 32 o 64 bits, según corresponda. 4. Con el archivo ejecutable descargado, instale el agente en los sistemas Windows que prefiera y configúrelo mediante el id. y las claves del área de trabajo que aparecen bajo los vínculos de descarga en el paso anterior.

Para permitir que los sistemas Windows que no tengan la conexión a Internet necesaria sigan transmitiendo eventos a Microsoft Sentinel, descargue e instale la Puerta de enlace de Log Analytics en una máquina distinta, mediante el vínculo Descarga de la Puerta de enlace de Log Analytics que está en la página Administración de agentes, y que así actúe como un proxy. Tiene que instalar el agente de Log Analytics en todos los sistemas Windows cuyos eventos quiera recopilar.

Para obtener más información sobre este escenario, consulte la documentación de la puerta de enlace de Log Analytics.

Para obtener más información sobre las opciones de instalación adicionales y otros detalles, consulte la documentación del agente de Log Analytics.

Determinación de los registros que se envían

Para los conectores de Windows DNS Server y Windows Firewall, seleccione el botón Instalar solución. Para el conector de eventos de seguridad heredado, elija el conjunto de eventos que quiere enviar y seleccione Actualizar. Para más información, consulte Conjuntos de eventos de seguridad de Windows que pueden enviarse a Microsoft Sentinel.

Puede buscar y consultar los datos de estos servicios mediante los nombres de tabla de sus respectivas secciones en la página de referencia de los conectores de datos.

Solución de problemas del conector de datos del servidor de DNS de Windows

Si los eventos de DNS no se muestran en Microsoft Sentinel:

1. Asegúrese de que los registros de análisis de DNS en los servidores están habilitados.
2. Vaya Azure DNS Analytics.
3. En el área Configuración, cambie cualquiera de las opciones y guarde los cambios. Vuelva a cambiar la configuración si es necesario y, a continuación, guarde los cambios de nuevo.
4. Compruebe el Azure DNS Analytics para asegurarse de que los eventos y las consultas se muestran correctamente.

Para más información, consulte Recopilación de información sobre la infraestructura de DNS con la solución DNS Analytics en versión preliminar.

Pasos siguientes

Para más información, consulte:

• Catálogo de soluciones de Microsoft Sentinel
• Integración de inteligencia sobre amenazas en Microsoft Sentinel