A Microsoft Sentinel csatlakoztatása más Microsoft-szolgáltatásokhoz windowsos ügynökalapú adatösszekötővel
Ez a cikk azt ismerteti, hogyan csatlakoztathatja a Microsoft Sentinelt más Microsoft-szolgáltatások windowsos ügynökalapú kapcsolatok használatával. A Microsoft Sentinel az Azure foundation használatával nyújt beépített, szolgáltatásról szolgáltatásra irányuló támogatást számos Azure- és Microsoft 365-szolgáltatás, Amazon Web Services és különböző Windows Server-szolgáltatások adatbetöltéséhez. Ezek a kapcsolatok többféleképpen is létre lettek hozva.
Ez a cikk a Windows-ügynökalapú adatösszekötők csoportjára jellemző információkat ismerteti.
Megjegyzés:
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Azure Monitor-ügynök
Az Azure Monitor-ügynökön (AMA) alapuló egyes összekötők jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Az Azure Monitor-ügynök jelenleg csak Windows biztonság eseményekhez, Windows továbbított eseményekhez és Windows DNS-eseményekhez támogatott.
Az Azure Monitor-ügynök adatgyűjtési szabályokkal (DCR-kkel) határozza meg az egyes ügynököktől begyűjtendő adatokat. Az adatgyűjtési szabályok két különböző előnyt kínálnak:
Nagy méretekben kezelheti a gyűjteménybeállításokat, miközben továbbra is lehetővé teszi a gépek részhalmazainak egyedi, hatókörrel rendelkező konfigurációit. Ezek függetlenek a munkaterületétől, és függetlenek a virtuális gépétől, ami azt jelenti, hogy egyszer definiálhatók, és újra felhasználhatók a gépeken és a környezetekben. Lásd: Az Azure Monitor-ügynök adatgyűjtésének konfigurálása.
Egyéni szűrőket hozhat létre a betöltendő események pontos kiválasztásához. Az Azure Monitor-ügynök ezekkel a szabályokkal szűri a forrásban lévő adatokat, és csak a kívánt eseményeket veszi be, miközben minden mást hátrahagy. Ez sok pénzt takaríthat meg az adatbetöltési költségekben!
Az alábbiakban megtudhatja, hogyan hozhat létre adatgyűjtési szabályokat.
Előfeltételek
Olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
Ha olyan rendszerből szeretne eseményeket gyűjteni, amely nem Azure-beli virtuális gép, a rendszernek telepítve és engedélyezve kell lennie az Azure Monitor Agent-alapú összekötő engedélyezése előtt.
This includes:
- Fizikai gépekre telepített Windows-kiszolgálók
- Helyszíni virtuális gépekre telepített Windows-kiszolgálók
- Nem Azure-felhők virtuális gépeire telepített Windows-kiszolgálók
Adatösszekötőkre vonatkozó követelmények:
Adatösszekötő Licencelés, költségek és egyéb információk Windows által továbbított események – Engedélyeznie kell és futtatnia kell a Windows Eseménygyűjteményt (WEC).
Telepítse az Azure Monitor-ügynököt a WEC-gépen.
– Javasoljuk, hogy telepítse az Advanced Security Information Model (ASIM) elemzőket, hogy teljes mértékben támogassa az adatok normalizálását. Ezeket az elemzőket aAzure-SentinelGitHub-adattárból telepítheti az Ott található Üzembe helyezés az Azure-ban gomb használatával.Telepítse a kapcsolódó Microsoft Sentinel-megoldást a Microsoft Sentinel content hubjáról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
Utasítások
A Microsoft Sentinel navigációs menüjében válassza az Adatösszekötők lehetőséget. Válassza ki az összekötőt a listából, majd válassza az Összekötő megnyitása lapot a részletek panelen. Ezután kövesse a képernyőn megjelenő utasításokat az Utasítások lapon, a szakasz többi részében leírtak szerint.
Ellenőrizze, hogy rendelkezik-e a megfelelő engedélyekkel az összekötő oldalán az Előfeltételek szakaszban leírtak szerint.
A Konfiguráció területen válassza az +Adatgyűjtési szabály hozzáadása lehetőséget. Az Adatgyűjtési szabály létrehozása varázsló jobbra nyílik meg.
Az Alapszintű beállítások területen adjon meg egy szabálynevet, és adjon meg egy előfizetést és erőforráscsoportot, ahol létrejön az adatgyűjtési szabály (DCR). Ennek nem kell azonos erőforráscsoportnak vagy előfizetésnek lennie, amelyben a figyelt gépek és a társítások találhatók, feltéve, hogy ugyanabban a bérlőben vannak.
Az Erőforrások lapon válassza az +Erőforrás hozzáadása lehetőséget az adatgyűjtési szabály hatálya alatt álló gépek hozzáadásához. Ekkor megnyílik a Hatókör kiválasztása párbeszédpanel, és megjelenik az elérhető előfizetések listája. Bontsa ki az előfizetést az erőforráscsoportok megtekintéséhez, és bontsa ki az erőforráscsoportot az elérhető gépek megtekintéséhez. A listában az Azure-beli virtuális gépek és az Azure Arc-kompatibilis kiszolgálók láthatók. Az előfizetések vagy erőforráscsoportok jelölőnégyzeteit bejelölve kijelölheti az összes gépeket, vagy kiválaszthatja az egyes gépeket. Válassza az Alkalmaz lehetőséget, ha az összes gépet kiválasztotta. A folyamat végén az Azure Monitor-ügynök minden olyan kiválasztott gépen telepítve lesz, amelyen még nincs telepítve.
A Gyűjtsön lapon válassza ki az összegyűjteni kívánt eseményeket: válassza az Összes esemény vagy az Egyéni lehetőséget más naplók megadásához vagy az események XPath-lekérdezések használatával történő szűréséhez (lásd az alábbi megjegyzést). Írja be a mezőbe azokat a kifejezéseket, amelyek kiértékelik az összegyűjtendő események adott XML-feltételeinek kiértékelését, majd válassza a Hozzáadás lehetőséget. Egyetlen mezőben legfeljebb 20 kifejezést, egy szabályban legfeljebb 100 mezőt adhat meg.
További információ az adatgyűjtési szabályokról az Azure Monitor dokumentációjában.
Megjegyzés:
A Windows biztonság Események összekötő két másik előre elkészített eseménykészletet is kínál, amelyeket összegyűjthet: Közös és Minimális.
Az Azure Monitor-ügynök csak az XPath 1.0-s verziójához támogatja az XPath-lekérdezéseket.
Amikor hozzáadta az összes kívánt szűrőkifejezést, válassza a Tovább: Áttekintés + létrehozás lehetőséget.
Amikor megjelenik az "Ellenőrzés átadott" üzenet, válassza a Létrehozás lehetőséget.
Az összekötő oldalán a Konfiguráció területen láthatja az összes adatgyűjtési szabályt (beleértve az API-n keresztül létrehozottakat is). Innen szerkesztheti vagy törölheti a meglévő szabályokat.
Tipp.
Az XPath-lekérdezés érvényességének teszteléséhez használja a Get-WinEvent PowerShell-parancsmagot a -FilterXPath paraméterrel. Az alábbi szkript egy példát mutat be:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Ha eseményeket ad vissza, a lekérdezés érvényes.
- Ha a "Nem található olyan esemény, amely megfelel a megadott kiválasztási feltételeknek", a lekérdezés érvényes lehet, de a helyi gépen nincsenek egyező események.
- Ha a "Megadott lekérdezés érvénytelen" üzenetet kapja, a lekérdezés szintaxisa érvénytelen.
Adatgyűjtési szabályok létrehozása az API használatával
Adatgyűjtési szabályokat is létrehozhat az API használatával (lásd a sémát), ami megkönnyíti az életet, ha sok szabályt hoz létre (például MSSP-ként). Íme egy példa (az AMA-összekötőn keresztüli Windows biztonság eseményekhez), amelyet sablonként használhat egy szabály létrehozásához:
Kérelem URL-címe és fejléce
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Kérelem törzse
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Tekintse meg az Adatgyűjtési szabályok teljes leírását az Azure Monitor dokumentációjából.
Log Analytics-ügynök (örökölt)
A Log Analytics-ügynök 2024. augusztus 31-én megszűnik. Ha a Log Analytics-ügynököt használja a Microsoft Sentinel üzemelő példányában, javasoljuk, hogy kezdje el megtervezni az AMA-ba való migrálást. További információ: AMA migrálása a Microsoft Sentinelhez.
Előfeltételek
- Olvasási és írási engedélyekkel kell rendelkeznie a Log Analytics-munkaterületen, valamint minden olyan munkaterületen, amely olyan gépeket tartalmaz, amelyekről naplókat szeretne gyűjteni.
- Ezeken a munkaterületeken a Log Analytics közreműködői szerepkörével kell rendelkeznie a Biztonsági Elemzések (Microsoft Sentinel) megoldásban, a Microsoft Sentinel-szerepkörök mellett.
Utasítások
A Microsoft Sentinel navigációs menüjében válassza az Adatösszekötők lehetőséget.
Válassza ki a szolgáltatást (DNS vagyWindows tűzfal), majd válassza az Összekötő megnyitása lapot.
Telepítse és helyezze üzembe az ügynököt a naplókat létrehozó eszközön.
Gép típusa Utasítások Azure Windows rendszerű virtuális gép esetén 1. Az Ügynök telepítésének helye területen bontsa ki az Ügynök telepítése az Azure Windows rendszerű virtuális gépen lehetőséget.
2. Válassza ki az Azure Windows rendszerű virtuális gépek > letöltési és telepítési ügynökét.
3. A Virtuális gépek panelen válasszon ki egy virtuális gépet, amelyen telepíteni szeretné az ügynököt, majd válassza a Csatlakozás. Ismételje meg ezt a lépést minden csatlakoztatni kívánt virtuális gép esetében.Bármely más Windows rendszerű gép esetén 1. Az Ügynök telepítésének helye területen bontsa ki az Ügynök telepítése nem Azure-beli Windows-gépen lehetőséget
2. Válassza ki a Nem Azure-beli Windows rendszerű gépek > letöltési és telepítési ügynökét.
3. Az Ügynökök kezelése panelEn, a Windows-kiszolgálók lapon válassza a Windows-ügynök letöltése hivatkozást a 32 bites vagy a 64 bites rendszerekhez, ha szükséges.
4. A letöltött végrehajtható fájl használatával telepítse az ügynököt a választott Windows-rendszerekre, és konfigurálja azt az előző lépésben a letöltési hivatkozások alatt megjelenő munkaterület-azonosító és kulcsok használatával.
Ahhoz, hogy a Szükséges internetkapcsolat nélküli Windows-rendszerek továbbra is streamelhessenek eseményeket a Microsoft Sentinelbe, töltse le és telepítse a Log Analytics-átjárót egy külön gépre az Ügynökök kezelése lapon található Log Analytics Gateway-hivatkozással, hogy proxyként működjön. Továbbra is telepítenie kell a Log Analytics-ügynököt minden olyan Windows-rendszerre, amelynek eseményeit gyűjteni szeretné.
Erről a forgatókönyvről további információt a Log Analytics-átjáró dokumentációjában talál.
További telepítési lehetőségekért és további részletekért tekintse meg a Log Analytics-ügynök dokumentációját.
A küldendő naplók meghatározása
A Windows DNS Server és a Windows tűzfal összekötőinél válassza a Megoldás telepítése gombot. Az örökölt biztonsági események összekötőjéhez válassza ki a küldeni kívánt eseménykészletet, és válassza a Frissítés lehetőséget. További információt a Microsoft Sentinelnek küldhető Windows biztonsági eseménykészletek című témakörben talál.
Ezeknek a szolgáltatásoknak az adatait az Adatösszekötők referenciaoldalának megfelelő szakaszaiban található táblanevekkel keresheti meg és kérdezheti le.
A Windows DNS Server adatösszekötő hibaelhárítása
Ha a DNS-események nem jelennek meg a Microsoft Sentinelben:
- Győződjön meg arról, hogy a DNS-elemzési naplók engedélyezve vannak a kiszolgálókon.
- Nyissa meg az Azure DNS Analyticst.
- A Konfiguráció területen módosítsa a beállításokat, és mentse a módosításokat. Szükség esetén módosítsa a beállításokat, majd mentse újra a módosításokat.
- Ellenőrizze az Azure DNS Analyticst, hogy az események és a lekérdezések megfelelően jelenjenek-e meg.
További információkért tekintse meg a DNS-infrastruktúrával kapcsolatos elemzések gyűjtését a DNS Analytics előzetes verziójának megoldásával.
További lépések
For more information, see: