Condividi tramite

Connettere Microsoft Sentinel ad altri servizi Microsoft con un connettore dati basato su agente Windows

  • Articolo

Questo articolo descrive come connettere Microsoft Sentinel ad altri servizi Microsoft usando connessioni basate su agente di Windows. Microsoft Sentinel usa la base di Azure per fornire un supporto predefinito da servizio a servizio per l'inserimento di dati da molti servizi di Azure e Microsoft 365, Amazon Web Services e vari servizi Windows Server. Esistono alcuni metodi diversi tramite cui vengono effettuate queste connessioni.

Questo articolo presenta le informazioni comuni al gruppo di connettori dati basati su agente di Windows.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Agente di Monitoraggio di Azure

Alcuni connettori basati sull'agente di Monitoraggio di Azure (AMA) sono attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

L'agente di Monitoraggio di Azure è attualmente supportato solo per gli eventi di sicurezza di Windows, gli eventi inoltrati di Windows e gli eventi DNS di Windows.

L'agente di Monitoraggio di Azure usa regole di raccolta dati (DCR) per definire i dati da raccogliere da ogni agente. Le regole di raccolta dati offrono due vantaggi distinti:

  • Gestire le impostazioni della raccolta su larga scala pur consentendo configurazioni univoche e con ambito per i subset di macchine virtuali. Sono indipendenti dall'area di lavoro e indipendenti dalla macchina virtuale, il che significa che possono essere definite una volta e riutilizzate tra computer e ambienti. Vedere Configurare la raccolta dati per l'agente di Monitoraggio di Azure.

  • Creare filtri personalizzati per scegliere gli eventi esatti da inserire. L'agente di Monitoraggio di Azure usa queste regole per filtrare i dati nell'origine e inserire solo gli eventi desiderati, ignorando tutto il resto. Ciò consente di risparmiare molto sui costi di inserimento dei dati.

Vedere di seguito come creare regole di raccolta dati.

Prerequisiti

  • È necessario disporre delle autorizzazioni di lettura e scrittura nell'area di lavoro Microsoft Sentinel.

  • Per raccogliere eventi da qualsiasi sistema che non sia una macchina virtuale di Azure, è necessario che il sistema abbia installato e abilitatoAzure Arc prima di abilitare il connettore basato sull'agente di Monitoraggio di Azure.

    Valuta gli ambiti seguenti:

    • Server Windows installati in computer fisici
    • Server Windows installati in macchine virtuali locali
    • Server Windows installati in macchine virtuali in cloud non Azure

  • Requisiti specifici del connettore dati:

    Connettore dati Licenze, costi e altre informazioni
    Eventi inoltrati di Windows - È necessario che la Raccolta eventi Windows (WEC) sia abilitata e in esecuzione.
    Installare l'agente di Monitoraggio di Azure nel computer WEC.
    - È consigliabile installare i parser ASIM (Advanced Security Information Model) per garantire il supporto completo per la normalizzazione dei dati. È possibile distribuire questi parser dal Azure-Sentinel repository GitHub usando il pulsante Distribuisci in Azure.

  • Installare la soluzione Microsoft Sentinel correlata dall'hub del contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Istruzioni

  1. Nel menu di spostamento di Microsoft Sentinel selezionare Connettori dati. Selezionare il connettore dall'elenco, quindi selezionare Apri la pagina del connettore nel riquadro dei dettagli. Quindi, seguire le istruzioni visualizzate nella scheda Istruzioni, come descritto nel resto di questa sezione.

  2. Verificare di disporre delle autorizzazioni appropriate, come descritto nella sezione Prerequisiti nella pagina del connettore.

  3. In Configurazione, selezionare +Aggiungi regola di raccolta dati. La procedura guidata Crea regola di raccolta dati verrà aperta a destra.

  4. In Informazioni di base, immettere un Nome della regola e specificare una Sottoscrizione e un Gruppo di risorse in cui verrà creata la regola di raccolta dati (DCR). Questo non deve essere lo stesso gruppo di risorse o la stessa sottoscrizione in cui si trovano i computer monitorati e le relative associazioni, purché si trovino nello stesso tenant.

  5. Nella scheda Risorse, selezionare +Aggiungi risorse per aggiungere i computer a cui verrà applicata la regola di raccolta dati. Verrà visualizzata la finestra di dialogo Seleziona un ambito e verrà visualizzato un elenco di sottoscrizioni disponibili. Espandere una sottoscrizione per visualizzare i relativi gruppi di risorse ed espandere un gruppo di risorse per visualizzare i computer disponibili. Nell'elenco verranno, visualizzate le macchine virtuali di Azure e i server abilitati per Azure Arc. È possibile selezionare le caselle di controllo delle sottoscrizioni o dei gruppi di risorse per selezionare tutti i computer inclusi oppure è possibile selezionare singoli computer. Selezionare Applica una volta selezionati tutti i computer. Alla fine di questo processo, l'agente di Monitoraggio di Azure verrà installato in tutti i computer selezionati in cui non è già installato.

  6. Nella scheda Raccogli, scegliere gli eventi da raccogliere: selezionare Tutti gli eventi o Personalizzato per specificare altri log o filtrare gli eventi usando Query XPath (vedere la nota seguente). Immettere le espressioni nella casella che valutano criteri XML specifici per gli eventi da raccogliere, quindi selezionare Aggiungi. È possibile immettere fino a 20 espressioni in una singola casella e fino a 100 caselle in una regola.

    Altre informazioni sulle regole di raccolta dati sono disponibili nella documentazione di Monitoraggio di Azure.

    Nota

    • Il connettore Eventi di sicurezza di Windows offre altri due set di eventi predefiniti che è possibile scegliere di raccogliere: Comuni e Minimi.

    • L'agente di Monitoraggio di Azure supporta solo le query XPath per XPath versione 1.0.

  7. Dopo aver aggiunto tutte le espressioni di filtro desiderate, selezionare Avanti: Rivedi + crea.

  8. Quando viene visualizzato il messaggio "Convalida superata", selezionare Crea.

Nella pagina del connettore, in Configurazione, verranno visualizzate tutte le regole di raccolta dati (incluse quelle create tramite l'API). Da qui è possibile modificare o eliminare le regole esistenti.

Suggerimento

Usare il cmdlet di PowerShell Get-WinEvent con il parametro -FilterXPath per testare la validità di una query XPath. Lo script seguente mostra un esempio:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • Se vengono restituiti eventi, la query è valida.
  • Se viene visualizzato il messaggio "Nessun evento trovato che corrisponde ai criteri di selezione specificati", la query può essere valida, ma non sono presenti eventi corrispondenti nel computer locale.
  • Se viene visualizzato il messaggio "La query specificata non è valida", la sintassi della query non è valida.

Creare regole di raccolta dati usando l'API

È anche possibile creare regole di raccolta dati usando l'API (vedere lo schema), che possono semplificare le attività quando si creano molte regole (ad esempio, se si è un MSSP). Ecco un esempio (per gli Eventi di sicurezza di Windows tramite il connettore AMA) che è possibile usare come modello per la creazione di una regola:

URL e intestazione della richiesta

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Testo della richiesta

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Vedere questa descrizione completa delle regole di raccolta dati nella documentazione di Monitoraggio di Azure.

Agente di Log Analytics (legacy)

L'agente di Log Analytics verrà ritirato il 31 agosto 2024. Se si usa l'agente di Log Analytics nella distribuzione di Microsoft Sentinel, è consigliabile iniziare a pianificare la migrazione ad AMA. Per altre informazioni, vedere Migrazione AMA per Microsoft Sentinel.

Prerequisiti

  • È necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro Log Analytics e per qualsiasi area di lavoro contenente computer da cui raccogliere i log.
  • È necessario avere il ruolo Collaboratore di Log Analytics nella soluzione SecurityInsights (Microsoft Sentinel) in tali aree di lavoro, oltre ai ruoli di Microsoft Sentinel.

Istruzioni

  1. Nel menu di spostamento di Microsoft Sentinel selezionare Connettori dati.

  2. Selezionare il servizio (DNS o Windows Firewall), quindi selezionare Apri pagina del connettore.

  3. Installare ed eseguire l'onboarding dell'agente sul dispositivo che genera i log.

    Tipo di computer Istruzioni
    Per una macchina virtuale Windows di Azure 1. In Seleziona dove installare l'agente, espandere Installa agente nella macchina virtuale Windows di Azure.

    2. Selezionare il collegamento Scarica e installa l'agente per le macchine virtuali Windows di Azure>.

    3. Nel pannello Macchine virtuali, selezionare una macchina virtuale in cui installare l'agente e quindi selezionare Connetti. Ripetere questo passaggio per ogni macchina virtuale che si vuole connettere.
    Per qualsiasi altro computer Windows 1. In Seleziona dove installare l'agente, espandere Installa agente nella macchina Windows non di Azure

    2. Selezionare il collegamento Scarica e installa l'agente per computer Windows non di Azure >.

    3. Nel pannello Gestione degli agenti, nella scheda Server Windows, selezionare il collegamento Scarica agente Windows per sistemi a 32 bit o a 64 bit, in base alle esigenze.

    4. Usando il file eseguibile scaricato, installare l'agente nei sistemi Windows desiderati e configurarlo usando l'ID e le chiavi dell'area di lavoro visualizzati sotto i collegamenti di download del passaggio precedente.

Per consentire ai sistemi Windows senza la connettività Internet necessaria di trasmettere gli eventi a Microsoft Sentinel, scaricare e installare il Gateway di Log Analytics in un computer separato, usando il collegamento Scarica gateway di Log Analytics nella pagina Gestione degli agenti, per agire come proxy. È comunque necessario installare l'agente di Log Analytics in ogni sistema Windows di cui si desiderano raccogliere gli eventi.

Per altre informazioni su questo scenario, vedere la documentazione del Gateway di Log Analytics.

Per altre opzioni di installazione e altri dettagli, vedere la documentazione dell'Agente di Log Analytics.

Determinare i log da inviare

Per i connettori Windows DNS Server e Windows Firewall, selezionare il pulsante Installa soluzione. Per il connettore Eventi di sicurezza legacy, scegliere il set di eventi da inviare e selezionare Aggiorna. Per altre informazioni, vedere Set di eventi di sicurezza di Windows che possono essere inviati a Microsoft Sentinel.

È possibile trovare ed eseguire query sui dati per questi servizi usando i nomi delle tabelle nelle rispettive sezioni nella pagina Riferimento dei connettori dati.

Risolvere i problemi relativi al connettore dati di Windows DNS Server

Se gli eventi DNS non vengono visualizzati in Microsoft Sentinel:

  1. Assicurarsi che i log di analisi DNS nei server siano abilitati.
  2. Andare ad Analisi DNS di Azure.
  3. Nell'area Configurazione, modificare le impostazioni e salvare le modifiche. Se necessario, modificare nuovamente le impostazioni, quindi salvare di nuovo le modifiche.
  4. Controllare Analisi DNS di Azure per assicurarsi che gli eventi e le query vengano visualizzati correttamente.

Per altre informazioni, vedere Raccogliere informazioni dettagliate sull'infrastruttura DNS con la soluzione Analisi DNS (anteprima).

Passaggi successivi

Per altre informazioni, vedi: