Connecter Microsoft Sentinel à d’autres services Microsoft avec un connecteur de données basé sur un agent Windows

Cet article décrit comment connecter Microsoft Sentinel à d'autres services Microsoft, en utilisant des connexions basées sur des agents Windows. Microsoft Sentinel utilise l'agent Azure Monitor pour fournir une prise en charge intégrée, de service à service, de l'ingestion de données à partir de nombreux services Azure et Microsoft 365, d'Amazon Web Services et de divers services Windows Server.

L’agent Azure Monitor utilise des règles de collecte de données (DCR) pour définir les données à collecter à partir de chaque agent. Les règles de collecte de données offrent deux avantages distincts :

• Gérer les paramètres de collecte à grande échelle, tout en continuant à autoriser des configurations uniques, étendues pour les sous-ensembles de machines. Elles ne dépendent pas de l’espace de travail ni de la machine virtuelle, ce qui signifie qu’elles peuvent être définies une seule fois et être réutilisées sur d’autres machines et environnements. Consultez Configurer la collecte de données pour l’agent Azure Monitor.

• Créer des filtres personnalisés pour choisir les événements exacts que vous souhaitez ingérer. L’agent Azure Monitor utilise ces règles pour filtrer les données à la source, et ingérer uniquement les événements qui vous intéressent tout en laissant les autres données de côté. Vous pouvez réaliser des économies substantielles en matière d’ingestion de données avec cette solution !

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Important

Certains connecteurs basés sur l’agent Azure Monitor (AMA) sont actuellement en préversion. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Prérequis

• Vous devez disposer d’autorisations d’accès en lecture et en écriture dans l’espace de travail Microsoft Sentinel.

• Pour collecter des événements à partir d’un système qui n’est pas une machine virtuelle Azure, il faut qu’Azure Arc soit installé et activé sur le système avant d’activer le connecteur basé sur l’agent Azure Monitor.

  notamment :

  • Les serveurs Windows installés sur des machines physiques
  • Les serveurs Windows installés sur des machines virtuelles locales
  • Les serveurs Windows installés sur des machines virtuelles dans des clouds non-Azure

• Pour le connecteur de données Windows Forwarded Events :

  • Vous devez activer et exécuter Windows Event Collection (WEC), avec l’agent Azure Monitor installé sur l’ordinateur WEC.
  • Nous vous recommandons d’installer les analyseurs du modèle d’informations de sécurité avancé (ASIM) pour garantir une prise en charge complète de la normalisation des données. Vous pouvez déployer ces analyseurs à partir du référentiel GitHub Azure-Sentinel à l’aide du bouton Déployer sur Azure.

• Installez la solution Microsoft Sentinel associée à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

Créer des règles de collecte de données via l'interface graphique

1. Dans Microsoft Sentinel, sélectionnez Connecteurs de données>de configuration. Sélectionnez votre connecteur dans la liste, puis sélectionnez Ouvrir la page du connecteur dans le volet de détails. Suivez ensuite les instructions à l’écran sous l’onglet Instructions, comme décrit dans le reste de cette section.

2. Vérifiez que vous disposez des autorisations appropriées, comme décrit dans la section Prérequis sur la page du connecteur.

3. Sous Configuration, sélectionnez +Ajouter une règle de collecte de données. L’Assistant Création d’une règle de collecte de données s’ouvre à droite.

4. Sous De base, entrez un Nom de règle et spécifiez un Abonnement et un Groupe de ressources dans lesquels la règle de collecte de données sera créée. Il n’est pas nécessaire que le groupe de ressources ou que l’abonnement soient les mêmes que ceux dans lesquels se trouvent les machines supervisées et leurs associations, tant qu’ils se trouvent dans le même locataire.

5. Sous l’onglet Ressources, sélectionnez +Ajouter une ou plusieurs ressources pour ajouter des machines auxquelles va s’appliquer la règle de collecte de données. La boîte de dialogue Sélectionner une étendue s’ouvre et la liste des abonnements disponibles s’affiche. Développez un abonnement pour voir ses groupes de ressources, puis développez un groupe de ressources pour voir les ordinateurs disponibles. Vous verrez des machines virtuelles Azure et des serveurs Azure Arc dans la liste. Vous pouvez activer les cases à cocher des abonnements ou des groupes de ressources pour sélectionner toutes les machines qu’ils contiennent, ou sélectionner des machines individuelles. Sélectionnez Appliquer lorsque vous avez choisi toutes vos machines. À la fin de ce processus, l’agent Azure Monitor sera installé sur les ordinateurs sélectionnés qui en étaient dépourvus.

6. Sous l’onglet Collecter, choisissez les événements à collecter : sélectionnez Tous les événements ou Personnaliser pour indiquer d’autres journaux ou pour filtrer des événements à l’aide de requêtes XPath. Dans la zone, entrez des expressions qui correspondent à des critères XML spécifiques pour les événements à collecter, puis sélectionnez Ajouter. Vous pouvez entrer jusqu’à 20 expressions dans une seule zone, et jusqu’à 100 zones dans une règle.

   Pour plus d’informations, consultez la Documentation Azure Monitor.

   Remarque

   • Le connecteur Événements de sécurité Windows propose deux autres jeux d’événements prédéfinis que vous pouvez choisir de collecter : Courant et Minimal.

   • L’agent Azure Monitor prend en charge les requêtes XPath pour XPath version 1.0 uniquement.

   Pour tester la validité d'une requête XPath, utilisez la cmdlet PowerShell Get-WinEvent avec le paramètre -FilterXPath. Par exemple :

   $XPath = '*[System[EventID=1035]]'
   Get-WinEvent -LogName 'Application' -FilterXPath $XPath
   

   • Si des événements sont retournés, la requête est valide.
   • Si vous recevez le message « Aucun événement correspondant aux critères de sélection spécifiés n’a été trouvé », il se peut que la requête soit valide, mais qu’il n’existe aucun événement correspondant sur l’ordinateur local.
   • Si vous recevez le message « La requête spécifiée n’est pas valide », la syntaxe de la requête n’est pas valide.

7. Une fois que vous avez ajouté toutes les expressions de filtre souhaitées, sélectionnez Suivant : Vérifier + créer.

8. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.

Vous verrez toutes vos règles de collecte de données y compris celles créées via l’API sous Configuration dans la page du connecteur. À partir de là, vous pouvez modifier ou supprimer des règles existantes.

Créer des règles de collecte de données à l’aide de l’API

Vous pouvez également créer des règles de collecte de données à l'aide de l'API, ce qui peut vous faciliter la vie si vous créez de nombreuses règles, comme dans le cas d'un MSSP. Voici un exemple (pour le connecteur Événements de sécurité Windows via AMA) que vous pouvez utiliser comme modèle pour créer une règle :

URL et en-tête de requête

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Corps de la demande

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Pour plus d’informations, consultez l’article suivant :

• Règles de collecte de données dans Azure Monitor
• Règles de collecte des données Schéma de l'API

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :

• Catalogue de solutions Microsoft Sentinel
• Intégration du renseignement sur les menaces dans Microsoft Sentinel