Menggunakan Aturan Pengumpulan Data (DCR) kustom untuk penyerapan Defender untuk Server

Anda dapat menggunakan Aturan Pengumpulan Data (DCR) kustom untuk mengontrol peristiwa Keamanan Windows mana yang dikirim ke Log Analytics untuk Defender untuk Server. Ini dapat membantu mengurangi volume penyerapan dengan memfilter peristiwa yang tidak Anda butuhkan.

Dengan DCR kustom, Anda dapat:

• Menyaring kejadian keamanan dengan volume tinggi
• Mengumpulkan subset tertentu dari peristiwa Keamanan Windows
• Menerapkan transformasi sebelum penyerapan

Prasyarat

Sebelum Anda membuat DCR kustom, pastikan:

• Azure Monitor Agent (AMA) diinstal pada komputer yang mengirim data ke Analitik Log.

• Ruang kerja Analitik Log ada di wilayah yang sama dengan DCR.

Membuat DCR

1. Masuk ke Portal Microsoft Azure.

2. Buka ▸ Monitor ▸ Pengaturan ▸ Aturan Pengumpulan Data ▸ + Buat.

3. Masukkan nama dan langganan.

4. Pilih atau buat grup sumber daya.

5. Pilih wilayah. Wilayah harus cocok dengan wilayah dari ruang kerja Log Analytics yang akan Anda kirimi.

   • Di bawah Jenis platform, pilih Windows untuk mengumpulkan peristiwa Keamanan Windows untuk SecurityEvent manfaat penyerapan. (Pilih Linux atau Semua jika Anda juga memerlukan log tersebut.)

   • Di bawah Titik Akhir Pengumpulan Data, biarkan <kosong> kecuali Anda menggunakan Titik Akhir Pengumpulan Data untuk Private Link atau penyiapan jaringan lanjutan lainnya.

6. Pilih Berikutnya : Sumber Daya >.

7. Pilih + Tambahkan sumber daya dan pilih sumber daya yang relevan.

8. Jika lingkungan Anda memerlukan Titik Akhir Pengumpulan Data (misalnya, saat menggunakan Private Link), pilih + Buat titik akhir dan buat di wilayah yang sama dengan DCR.

9. Pilih Berikutnya : Kumpulkan dan kirim >.

10. Pilih + Tambahkan sumber data.

11. Untuk Jenis sumber data, pilih Log Peristiwa Windows dan pilih Dasar atau Kustom:

    • Dasar:
      • Di bawah Keamanan, pilih Keberhasilan audit dan/atau Kegagalan audit untuk mengirim peristiwa Keamanan Windows ke SecurityEvent tabel.
      • Jika diperlukan pilih log peristiwa Aplikasi atau Sistem untuk mengumpulkan peristiwa tambahan. Peristiwa ini dikirim ke tabel Event dan ditagih sebagai pemasukan reguler. Mereka tidak tercakup oleh defender untuk manfaat penyerapan Server.
    • Kustom:

      • Masukkan kueri XPath di bawah Gunakan kueri XPath untuk memfilter log peristiwa dan membatasi pengumpulan data. Misalnya: Security!*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]

        

12. Pilih Tambahkan.

13. Pilih Berikutnya : Tujuan >.

14. Pilih + Tambahkan tujuan.

    

15. Untuk Jenis tujuan, pilih Log Azure Monitor.

16. Pilih setidaknya satu ruang kerja Analitik Log di wilayah yang sama dengan DCR.

17. Pilih Simpan.

18. Pilih Berikutnya : Tag > dan tambahkan tag apa pun yang Anda butuhkan untuk organisasi sumber daya atau manajemen biaya.

19. Pilih Selanjutnya: Tinjau dan Buat >.

20. Pilih Buat untuk menyebarkan DCR.

Verifikasi penyerapan data

Setelah DCR disebarkan, izinkan beberapa menit agar data mulai mengalir.

Jalankan kueri KQL berikut di ruang kerja Analitik Log:

SecurityEvent
| take 10

Sampel fragmen JSON

Contoh berikut menunjukkan konfigurasi DCR yang mengumpulkan peristiwa Keamanan Windows yang dipilih:

{
  "dataSources": {
    "windowsEventLogs": [
      {
        "name": "SecurityEvents",
        "streams": ["Microsoft-SecurityEvent"],
        "xPathQueries": [
          "Security!*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]"
        ]
      }
    ]
  },
  "destinations": {
    "logAnalytics": [
      { "workspaceId": "<workspace-id>" }
    ]
  }
}

Menyebarkan menggunakan Azure Policy

Untuk lingkungan besar, Anda dapat menggunakan Azure Policy untuk membuat dan menetapkan Aturan Pengumpulan Data (DCR) secara otomatis untuk peristiwa keamanan di beberapa langganan dengan menggunakan inisiatif sebarkan AMA DCR untuk Peristiwa Keamanan .

Konten terkait

• Menggunakan manfaat penyerapan data di Microsoft Defender untuk Cloud

Menggunakan manfaat penyerapan data di Microsoft Defender untuk Cloud