A Microsoft Sentinel csatlakoztatása más Microsoft-szolgáltatásokhoz windowsos ügynökalapú adatösszekötővel
Ez a cikk azt ismerteti, hogyan csatlakoztathatja a Microsoft Sentinelt más Microsoft-szolgáltatások Windows-ügynökalapú kapcsolatokhoz. A Microsoft Sentinel az Azure Monitor-ügynök használatával nyújt beépített, szolgáltatásról szolgáltatásra irányuló támogatást az adatbetöltéshez számos Azure- és Microsoft 365-szolgáltatásból, amazon webszolgáltatásokból és különböző Windows Server-szolgáltatásokból.
Az Azure Monitor-ügynök adatgyűjtési szabályokkal (DCR-kkel) határozza meg az egyes ügynököktől begyűjtendő adatokat. Az adatgyűjtési szabályok két különböző előnyt kínálnak:
Nagy méretekben kezelheti a gyűjteménybeállításokat, miközben továbbra is lehetővé teszi a gépek részhalmazainak egyedi, hatókörrel rendelkező konfigurációit. Ezek függetlenek a munkaterületétől, és függetlenek a virtuális gépétől, ami azt jelenti, hogy egyszer definiálhatók, és újra felhasználhatók a gépeken és a környezetekben. Lásd: Az Azure Monitor-ügynök adatgyűjtésének konfigurálása.
Egyéni szűrőket hozhat létre a betöltendő események pontos kiválasztásához. Az Azure Monitor-ügynök ezekkel a szabályokkal szűri a forrásban lévő adatokat, és csak a kívánt eseményeket veszi be, miközben minden mást hátrahagy. Ez sok pénzt takaríthat meg az adatbetöltési költségekben!
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Fontos
Az Azure Monitor-ügynökön (AMA) alapuló egyes összekötők jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Előfeltételek
Olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
Ha olyan rendszerből szeretne eseményeket gyűjteni, amely nem Azure-beli virtuális gép, a rendszernek telepítve és engedélyezve kell lennie az Azure Monitor Agent-alapú összekötő engedélyezése előtt.
Ide tartoznak az alábbiak:
- Fizikai gépekre telepített Windows-kiszolgálók
- Helyszíni virtuális gépekre telepített Windows-kiszolgálók
- Nem Azure-felhők virtuális gépeire telepített Windows-kiszolgálók
A Windows Továbbított események adatösszekötő esetében:
- Engedélyeznie és futtatnia kell a Windows Eseménygyűjteményt (WEC), és telepítenie kell az Azure Monitor-ügynököt a WEC-gépen.
- Javasoljuk, hogy telepítse az Advanced Security Information Model (ASIM) elemzőket az adat normalizálásának teljes támogatása érdekében. Ezeket az elemzőket a
Azure-SentinelGitHub-adattárból telepítheti az Ott található Üzembe helyezés az Azure-ban gomb használatával.
Telepítse a kapcsolódó Microsoft Sentinel-megoldást a Microsoft Sentinel content hubjáról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
Adatgyűjtési szabályok létrehozása a grafikus felhasználói felületen
A Microsoft Sentinelben válassza a Konfigurációs>adatösszekötők lehetőséget. Válassza ki az összekötőt a listából, majd válassza az Összekötő megnyitása lapot a részletek panelen. Ezután kövesse a képernyőn megjelenő utasításokat az Utasítások lapon, a szakasz többi részében leírtak szerint.
Ellenőrizze, hogy rendelkezik-e a megfelelő engedélyekkel az összekötő oldalán az Előfeltételek szakaszban leírtak szerint.
A Konfiguráció területen válassza az +Adatgyűjtési szabály hozzáadása lehetőséget. Az Adatgyűjtési szabály létrehozása varázsló jobbra nyílik meg.
Az Alapszintű beállítások területen adjon meg egy szabálynevet, és adjon meg egy előfizetést és erőforráscsoportot, ahol létrejön az adatgyűjtési szabály (DCR). Ennek nem kell azonos erőforráscsoportnak vagy előfizetésnek lennie, amelyben a figyelt gépek és a társítások találhatók, feltéve, hogy ugyanabban a bérlőben vannak.
Az Erőforrások lapon válassza az +Erőforrás hozzáadása lehetőséget az adatgyűjtési szabály hatálya alatt álló gépek hozzáadásához. Ekkor megnyílik a Hatókör kiválasztása párbeszédpanel, és megjelenik az elérhető előfizetések listája. Bontsa ki az előfizetést az erőforráscsoportok megtekintéséhez, és bontsa ki az erőforráscsoportot az elérhető gépek megtekintéséhez. A listában az Azure-beli virtuális gépek és az Azure Arc-kompatibilis kiszolgálók láthatók. Az előfizetések vagy erőforráscsoportok jelölőnégyzeteit bejelölve kijelölheti az összes gépeket, vagy kiválaszthatja az egyes gépeket. Válassza az Alkalmaz lehetőséget, ha az összes gépet kiválasztotta. A folyamat végén az Azure Monitor-ügynök minden olyan kiválasztott gépen telepítve lesz, amelyen még nincs telepítve.
A Gyűjtés lapon válassza ki az összegyűjteni kívánt eseményeket: válassza a Minden esemény vagy az Egyéni lehetőséget más naplók megadásához, vagy az események XPath-lekérdezések használatával történő szűréséhez. Írja be a mezőbe azokat a kifejezéseket, amelyek kiértékelik az összegyűjtendő események adott XML-feltételeinek kiértékelését, majd válassza a Hozzáadás lehetőséget. Egyetlen mezőben legfeljebb 20 kifejezést, egy szabályban legfeljebb 100 mezőt adhat meg.
További információkért tekintse meg az Azure Monitor dokumentációját.
Feljegyzés
A Windows biztonság Események összekötő két másik előre elkészített eseménykészletet is kínál, amelyeket összegyűjthet: Közös és Minimális.
Az Azure Monitor Agent csak az XPath 1.0-s verziójához támogatja az XPath-lekérdezéseket.
Egy XPath-lekérdezés érvényességének teszteléséhez használja a Get-WinEvent PowerShell-parancsmagot a -FilterXPath paraméterrel. Példa:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- Ha eseményeket ad vissza, a lekérdezés érvényes.
- Ha a "Nem található olyan esemény, amely megfelel a megadott kiválasztási feltételeknek", a lekérdezés érvényes lehet, de a helyi gépen nincsenek egyező események.
- Ha a "Megadott lekérdezés érvénytelen" üzenetet kapja, a lekérdezés szintaxisa érvénytelen.
Amikor hozzáadta az összes kívánt szűrőkifejezést, válassza a Tovább: Áttekintés + létrehozás lehetőséget.
Amikor megjelenik az Ellenőrzés átadott üzenet, válassza a Létrehozás lehetőséget.
Az összekötő oldalán a Konfiguráció területen láthatja az összes adatgyűjtési szabályt, beleértve az API-n keresztül létrehozottakat is. Innen szerkesztheti vagy törölheti a meglévő szabályokat.
Adatgyűjtési szabályok létrehozása az API használatával
Az API-val adatgyűjtési szabályokat is létrehozhat, amelyek megkönnyítik az életet, ha számos szabályt hoz létre, például HA ÖN MSSP. Íme egy példa (az AMA-összekötőn keresztüli Windows biztonság eseményekhez), amelyet sablonként használhat egy szabály létrehozásához:
Kérelem URL-címe és fejléce
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Kérelem törzse
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
További információk:
Következő lépések
További információk: