Se connecter Microsoft Sentinel à d’autres services Microsoft avec un connecteur de données basé sur un agent Windows

Cet article explique comment connecter Microsoft Sentinel à d’autres services Microsoft des connexions basées sur un agent Windows. Microsoft Sentinel utilise l’agent Azure Monitor pour fournir une prise en charge intégrée de service à service pour l’ingestion de données à partir de nombreux services Azure et Microsoft 365, Amazon Web Services et divers services Windows Server.

L’agent Azure Monitor utilise des règles de collecte de données (DCR) pour définir les données à collecter à partir de chaque agent. Les règles de collecte de données vous offrent deux avantages distincts :

• Gérez les paramètres de regroupement à grande échelle tout en autorisant des configurations uniques et délimitées pour les sous-ensembles de machines. Ils sont indépendants de l’espace de travail et de la machine virtuelle, ce qui signifie qu’ils peuvent être définis une seule fois et réutilisés sur les machines et les environnements. Consultez Configurer la collecte de données pour l’agent Azure Monitor.

• Créez des filtres personnalisés pour choisir les événements exacts que vous souhaitez ingérer. L’agent Azure Monitor utilise ces règles pour filtrer les données à la source et ingérer uniquement les événements souhaités, tout en laissant tout le reste derrière. Cela peut vous faire économiser beaucoup d’argent en coûts d’ingestion de données !

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du gouvernement des États-Unis, consultez les tables Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du gouvernement des États-Unis.

Importante

Certains connecteurs basés sur l’agent Azure Monitor (AMA) sont actuellement en préversion. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour obtenir des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale.

Configuration requise

• Vous devez disposer d’autorisations de lecture et d’écriture sur l’espace de travail Microsoft Sentinel.

• Pour collecter des événements à partir d’un système qui n’est pas une machine virtuelle Azure, Azure Arc doit être installé et activé sur le système avant d’activer le connecteur basé sur l’agent Azure Monitor.

  Cela inclut les opérations suivantes :

  • Serveurs Windows installés sur des machines physiques
  • Serveurs Windows installés sur des machines virtuelles locales
  • Serveurs Windows installés sur des machines virtuelles dans des clouds non Azure

• Pour le connecteur de données Événements transférés Windows :

  • La collection d’événements Windows (WEC) doit être activée et en cours d’exécution, avec l’agent Azure Monitor installé sur l’ordinateur WEC.
  • Nous vous recommandons d’installer les analyseurs ASIM (Advanced Security Information Model) pour garantir une prise en charge complète de la normalisation des données. Vous pouvez déployer ces analyseurs à partir du référentiel GitHub à l’aide Azure-Sentinel du bouton Déployer sur Azure.

• Installez la solution Microsoft Sentinel associée à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer Microsoft Sentinel contenu prête à l’emploi.

Créer des règles de collecte de données via l’interface graphique graphique

1. Dans Microsoft Sentinel, sélectionnezConnecteurs de donnéesde configuration>. Sélectionnez votre connecteur dans la liste, puis sélectionnez Ouvrir la page du connecteur dans le volet d’informations. Suivez ensuite les instructions à l’écran sous l’onglet Instructions , comme décrit dans le reste de cette section.

2. Vérifiez que vous disposez des autorisations appropriées, comme décrit dans la section Prérequis de la page du connecteur.

3. Sous Configuration, sélectionnez +Ajouter une règle de collecte de données. L’Assistant Créer une règle de collecte de données s’ouvre à droite.

4. Sous Informations de base, entrez un nom de règle et spécifiez un abonnement et un groupe de ressources où la règle de collecte de données (DCR) sera créée. Il n’est pas nécessaire qu’il s’agit du même groupe de ressources ou du même abonnement que les machines surveillées et leurs associations, tant qu’elles se trouvent dans le même locataire.

5. Sous l’onglet Ressources , sélectionnez +Ajouter une ou plusieurs ressources pour ajouter les machines auxquelles la règle de collecte de données s’applique. La boîte de dialogue Sélectionner une étendue s’ouvre et vous verrez une liste des abonnements disponibles. Développez un abonnement pour afficher ses groupes de ressources, puis développez un groupe de ressources pour afficher les machines disponibles. Vous verrez Azure machines virtuelles et Azure serveurs avec Arc dans la liste. Vous pouvez marquer les zones case activée des abonnements ou des groupes de ressources pour sélectionner toutes les machines qu’ils contiennent, ou vous pouvez sélectionner des machines individuelles. Sélectionnez Appliquer lorsque vous avez choisi toutes vos machines. À la fin de ce processus, l’agent Azure Monitor est installé sur les ordinateurs sélectionnés qui ne l’ont pas déjà installé.

6. Sous l’onglet Collecter , choisissez les événements que vous souhaitez collecter : sélectionnez Tous les événements ou Personnalisé pour spécifier d’autres journaux ou filtrer les événements à l’aide de requêtes XPath. Entrez des expressions dans la zone qui évaluent des critères XML spécifiques pour les événements à collecter, puis sélectionnez Ajouter. Vous pouvez entrer jusqu’à 20 expressions dans une seule zone et jusqu’à 100 zones dans une règle.

   Pour plus d’informations, consultez la documentation Azure Monitor.

   Remarque

   • Le connecteur Sécurité Windows Events propose deux autres ensembles d’événements prédéfinis que vous pouvez choisir de collecter : Commun et Minimal.

   • L’agent Azure Monitor prend uniquement en charge les requêtes XPath pour XPath version 1.0.

   Pour tester la validité d’une requête XPath, utilisez l’applet de commande PowerShell Get-WinEvent avec le paramètre -FilterXPath . Par exemple :

   $XPath = '*[System[EventID=1035]]'
   Get-WinEvent -LogName 'Application' -FilterXPath $XPath
   

   • Si des événements sont retournés, la requête est valide.
   • Si vous recevez le message « Aucun événement n’a été trouvé qui correspond aux critères de sélection spécifiés », la requête peut être valide, mais il n’y a aucun événement correspondant sur l’ordinateur local.
   • Si vous recevez le message « La requête spécifiée n’est pas valide », la syntaxe de la requête n’est pas valide.

7. Une fois que vous avez ajouté toutes les expressions de filtre souhaitées, sélectionnez Suivant : Vérifier + créer.

8. Lorsque le message Validation réussie s’affiche, sélectionnez Créer.

Vous verrez toutes vos règles de collecte de données, y compris celles créées via l’API, sous Configuration sur la page du connecteur. À partir de là, vous pouvez modifier ou supprimer des règles existantes.

Créer des règles de collecte de données à l’aide de l’API

Vous pouvez également créer des règles de collecte de données à l’aide de l’API, ce qui peut faciliter la vie si vous créez de nombreuses règles, par exemple si vous êtes mssp. Voici un exemple (pour les événements Sécurité Windows via le connecteur AMA) que vous pouvez utiliser comme modèle pour créer une règle :

URL et en-tête de la demande

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Corps de la demande

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Règles de collecte de données (DCR) dans Azure Monitor
• Schéma de l’API des règles de collecte de données

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• catalogue de solutions Microsoft Sentinel
• Intégration du renseignement sur les menaces dans Microsoft Sentinel