Connecter Microsoft Sentinel à d’autres services Microsoft avec un connecteur de données basé sur un agent Windows

Cet article explique comment connecter Microsoft Sentinel à d’autres services Microsoft à l’aide d’une connexion basée sur un agent Windows. Microsoft Sentinel se base sur Azure afin de fournir une prise en charge service à service intégrée de l’ingestion de données à partir de nombreux services Azure et Microsoft 365, d’Amazon Web Services et de divers services Windows Server. Plusieurs méthodes permettent d’établir ces connexions.

Cet article présente des informations communes au groupe de connecteurs de données basés sur un agent Windows.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Agent Azure Monitor

Certains connecteurs basés sur l’agent Azure Monitor (AMA) sont actuellement en préversion. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

L’agent Azure Monitor n’est actuellement pris en charge que pour les événements de sécurité Windows, les événements transférés par Windows et les événements DNS Windows.

L’agent Azure Monitor utilise des règles de collecte de données (DCR) pour définir les données à collecter à partir de chaque agent. Les règles de collecte de données offrent deux avantages distincts :

• Gérer les paramètres de collecte à grande échelle, tout en continuant à autoriser des configurations uniques, étendues pour les sous-ensembles de machines. Elles ne dépendent pas de l’espace de travail ni de la machine virtuelle, ce qui signifie qu’elles peuvent être définies une seule fois et être réutilisées sur d’autres machines et environnements. Consultez Configurer la collecte de données pour l’agent Azure Monitor.

• Créer des filtres personnalisés pour choisir les événements exacts que vous souhaitez ingérer. L’agent Azure Monitor utilise ces règles pour filtrer les données à la source, et ingérer uniquement les événements qui vous intéressent tout en laissant les autres données de côté. Vous pouvez réaliser des économies substantielles en matière d’ingestion de données avec cette solution !

Voir ci-dessous comment créer des règles de collecte de données.

Prérequis

• Vous devez disposer d’autorisations d’accès en lecture et en écriture dans l’espace de travail Microsoft Sentinel.

• Pour collecter des événements à partir d’un système qui n’est pas une machine virtuelle Azure, il faut qu’Azure Arc soit installé et activé sur le système avant d’activer le connecteur basé sur l’agent Azure Monitor.

  notamment :

  • Les serveurs Windows installés sur des machines physiques
  • Les serveurs Windows installés sur des machines virtuelles locales
  • Les serveurs Windows installés sur des machines virtuelles dans des clouds non-Azure

• Exigences spécifiques au connecteur de données :

  Connecteur de données

  Licences, coûts et autres informations

  Événements transférés par Windows

  - La Collection d’événements Windows (WEC) doit être activée et en cours d’exécution. Installez l’agent Azure Monitor sur la machine WEC. - Nous vous recommandons d’installer les analyseurs du modèle d’informations de sécurité avancé (ASIM) pour garantir une prise en charge complète de la normalisation des données. Vous pouvez déployer ces analyseurs à partir du référentiel GitHub Azure-Sentinel à l’aide du bouton Déployer sur Azure.

• Installez la solution Microsoft Sentinel associée à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

Instructions

1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Connecteurs de données. Sélectionnez votre connecteur dans la liste, puis sélectionnez Ouvrir la page du connecteur dans le volet de détails. Suivez ensuite les instructions à l’écran sous l’onglet Instructions, comme décrit dans le reste de cette section.

2. Vérifiez que vous disposez des autorisations appropriées, comme décrit dans la section Prérequis sur la page du connecteur.

3. Sous Configuration, sélectionnez +Ajouter une règle de collecte de données. L’Assistant Création d’une règle de collecte de données s’ouvre à droite.

4. Sous De base, entrez un Nom de règle et spécifiez un Abonnement et un Groupe de ressources dans lesquels la règle de collecte de données sera créée. Il n’est pas nécessaire que le groupe de ressources ou que l’abonnement soient les mêmes que ceux dans lesquels se trouvent les machines supervisées et leurs associations, tant qu’ils se trouvent dans le même locataire.

5. Sous l’onglet Ressources, sélectionnez +Ajouter une ou plusieurs ressources pour ajouter des machines auxquelles va s’appliquer la règle de collecte de données. La boîte de dialogue Sélectionner une étendue s’ouvre et la liste des abonnements disponibles s’affiche. Développez un abonnement pour voir ses groupes de ressources, puis développez un groupe de ressources pour voir les ordinateurs disponibles. Vous verrez des machines virtuelles Azure et des serveurs Azure Arc dans la liste. Vous pouvez activer les cases à cocher des abonnements ou des groupes de ressources pour sélectionner toutes les machines qu’ils contiennent, ou sélectionner des machines individuelles. Sélectionnez Appliquer lorsque vous avez choisi toutes vos machines. À la fin de ce processus, l’agent Azure Monitor sera installé sur les ordinateurs sélectionnés qui en étaient dépourvus.

6. Sous l’onglet Collecter, choisissez les événements à collecter : sélectionnez Tous les événements ou Personnaliser pour indiquer d’autres journaux ou pour filtrer des événements à l’aide de requêtes XPath (voir la remarque ci-dessous). Dans la zone, entrez des expressions qui correspondent à des critères XML spécifiques pour les événements à collecter, puis sélectionnez Ajouter. Vous pouvez entrer jusqu’à 20 expressions dans une seule zone, et jusqu’à 100 zones dans une règle.

   Apprenez-en davantage sur les Règles de collecte de données, dans la documentation Azure Monitor.

   Notes

   • Le connecteur Événements de sécurité Windows propose deux autres jeux d’événements prédéfinis que vous pouvez choisir de collecter : Courant et Minimal.

   • L’agent Azure Monitor prend en charge les requêtes XPath pour XPath version 1.0 uniquement.

7. Une fois que vous avez ajouté toutes les expressions de filtre souhaitées, sélectionnez Suivant : Vérifier + créer.

8. Quand le message « Validation réussie » s’affiche, sélectionnez Créer.

Vous verrez toutes vos règles de collecte de données (y compris celles créées via l’API) sous Configuration dans la page du connecteur. À partir de là, vous pouvez modifier ou supprimer des règles existantes.

Conseil

Utilisez l’applet de commande PowerShell Get-WinEvent avec le paramètre -FilterXPath pour tester la validité d’une requête XPath. Le script suivant donne un exemple :

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath

• Si des événements sont retournés, la requête est valide.
• Si vous recevez le message « Aucun événement correspondant aux critères de sélection spécifiés n’a été trouvé », il se peut que la requête soit valide, mais qu’il n’existe aucun événement correspondant sur l’ordinateur local.
• Si vous recevez le message « La requête spécifiée n’est pas valide », la syntaxe de la requête n’est pas valide.

Créer des règles de collecte de données à l’aide de l’API

Vous pouvez également créer des règles de collecte de données à l’aide de l’API (voir le schéma), ce qui peut simplifier votre travail si vous créez de nombreuses règles (si vous êtes un fournisseur MSSP, par exemple). Voici un exemple (pour le connecteur Événements de sécurité Windows via AMA) que vous pouvez utiliser comme modèle pour créer une règle :

URL et en-tête de requête

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Corps de la demande

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Consultez cette description complète des règles de collecte de données dans la documentation Azure Monitor.

Agent Log Analytics (hérité)

L’agent Log Analytics sera mis hors service le 31 août 2024. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons de commencer à planifier votre migration vers l’agent Azure Monitor (AMA). Pour plus d’informations, consultez Migration AMA pour Microsoft Sentinel.

Prérequis

• Vous devez disposer d’autorisations de lecture et d’écriture sur l’espace de travail Log Analytics, ainsi que sur tout espace de travail contenant des machines dont vous souhaitez collecter les journaux.
• Vous devez avoir le rôle Contributeur Log Analytics sur la solution SecurityInsights (Microsoft Sentinel) de ces espaces de travail, en plus des rôles Microsoft Sentinel.

Instructions

1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Connecteurs de données.

2. Sélectionnez votre service (DNS ou Pare-feu Windows), puis choisissez Ouvrir la page du connecteur.

3. Installez et intégrez l’agent sur l’appareil qui génère les journaux.

   Type de machine	Instructions
   Pour une machine virtuelle Azure Windows	1. Sous Choisissez l’emplacement d’installation de l’agent, développez Installer l’agent sur une machine virtuelle Azure Windows. 2. Sélectionnez le lien Télécharger et installer l’agent pour les machines virtuelles > Windows Azure. 3. Dans le panneau Machines virtuelles, sélectionnez une machine virtuelle sur laquelle installer l’agent, puis choisissez Connecter. Répétez cette étape pour chaque machine virtuelle à laquelle vous souhaitez vous connecter.
   Pour toute autre machine Windows	1. Sous Choisissez l’emplacement d’installation de l’agent, développez Installer l’agent sur un ordinateur non Azure Windows. 2. Sélectionnez l’agent de téléchargement et d’installation pour les machines > Windows autres qu’Azure. 3. Dans le panneau Agents de gestion, sous l’onglet Serveurs Windows, sélectionnez le lien Télécharger l’agent Windows pour les systèmes 32 bits ou 64 bits, selon le cas. 4. À l’aide du fichier exécutable téléchargé, installez l’agent sur les systèmes Windows de votre choix et configurez-le à l’aide de l’ID et des clés de l’espace de travail qui s’affichent sous les liens de téléchargement mentionnés à l’étape précédente.

Pour permettre aux systèmes Windows qui n’ont pas la connexion Internet nécessaire de continuer à transmettre des événements à Microsoft Sentinel, téléchargez et installez la passerelle Log Analytics sur un ordinateur distinct en utilisant le lien Télécharger la passerelle Log Analytics sur la page Gestion des agents afin de l’utiliser en tant que proxy. Vous devez toujours installer l’agent Log Analytics sur chaque système Windows dont vous souhaitez collecter les événements.

Pour plus d’informations sur ce scénario, consultez la documentation relative à la passerelle Log Analytics.

Pour obtenir des options d’installation supplémentaires et d’autres informations, consultez la documentation sur l’agent Log Analytics.

Déterminer les journaux à envoyer

Pour les connecteurs Serveur DNS Windows et Pare-feu Windows, cliquez sur le bouton Installer la solution. Pour le connecteur Événements de sécurité hérité, choisissez le jeu d’événements que vous souhaitez envoyer et sélectionnez Mettre à jour. Pour plus d’informations, consultez Ensembles d’événements de sécurité Windows pouvant être envoyés à Microsoft Sentinel.

Vous pouvez rechercher et interroger les données de ces services à l’aide des noms de table dans leurs sections respectives, dans la page de référence des connecteurs de données.

Résoudre les problèmes du connecteur de données de votre serveur DNS Windows

Si vos événements DNS n’apparaissent pas dans Microsoft Sentinel :

1. Vérifiez que les journaux DNS Analytics sur vos serveurs sont activés.
2. Accédez à Azure DNS Analytics.
3. Dans la zone Configuration, changez des paramètres et enregistrez vos changements. Rechangez vos paramètres si nécessaire et réenregistrez-les.
4. Consultez votre Azure DNS Analytics pour vérifier que vos événements et vos requêtes s’affichent correctement.

Pour plus d’informations, consultez Collecter des insights sur votre infrastructure DNS avec la solution DNS Analytics (préversion).

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :

• Catalogue de solutions Microsoft Sentinel
• Intégration du renseignement sur les menaces dans Microsoft Sentinel