Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come connettere Microsoft Sentinel ad altre connessioni basate su agente Windows di servizi Microsoft. Microsoft Sentinel usa l'agente di monitoraggio Azure per fornire supporto predefinito da servizio a servizio per l'inserimento di dati da molti servizi di Azure e Microsoft 365, Amazon Web Services e vari servizi di Windows Server.
L'agente di monitoraggio Azure usa le regole di raccolta dati (DCR) per definire i dati da raccogliere da ogni agente. Le regole di raccolta dati offrono due vantaggi distinti:
Gestire le impostazioni di raccolta su larga scala , consentendo al contempo configurazioni con ambito univoco per subset di computer. Sono indipendenti dall'area di lavoro e indipendenti dalla macchina virtuale, il che significa che possono essere definiti una volta e riutilizzati tra computer e ambienti. Vedere Configurare la raccolta dati per l'agente di monitoraggio Azure.
Compilare filtri personalizzati per scegliere gli eventi esatti da inserire. L'agente di monitoraggio Azure usa queste regole per filtrare i dati all'origine e inserire solo gli eventi desiderati, lasciando tutto il resto alle spalle. Questo può risparmiare un sacco di soldi in costi di inserimento dati!
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud del governo degli Stati Uniti, vedere le tabelle Microsoft Sentinel in Disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.
Importante
Alcuni connettori basati sull'agente di monitoraggio Azure sono attualmente in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.
Prerequisiti
È necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro Microsoft Sentinel.
Per raccogliere eventi da qualsiasi sistema che non sia una macchina virtuale Azure, il sistema deve avere Azure Arc installato e abilitato prima di abilitare il connettore basato su agente di monitoraggio Azure.
Tra queste vi sono anche:
- Server Windows installati nei computer fisici
- Server Windows installati in macchine virtuali locali
- Server Windows installati in macchine virtuali in cloud non Azure
Per il connettore dati Eventi inoltrati di Windows:
- È necessario che La raccolta eventi di Windows sia abilitata e in esecuzione, con l'agente di monitoraggio Azure installato nel computer WEC.
- È consigliabile installare i parser ASIM (Advanced Security Information Model) per garantire il supporto completo per la normalizzazione dei dati. È possibile distribuire questi parser dal
Azure-Sentinelrepository GitHub usando il pulsante Distribuisci in Azure.
Installare la soluzione Microsoft Sentinel correlata dall'hub contenuti in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire Microsoft Sentinel contenuto predefinito.
Creare regole di raccolta dati tramite l'interfaccia utente grafica
In Microsoft Sentinel selezionareConnettori datidi configurazione>. Selezionare il connettore nell'elenco e quindi selezionare Apri pagina connettore nel riquadro dei dettagli. Seguire quindi le istruzioni visualizzate nella scheda Istruzioni , come descritto nel resto di questa sezione.
Verificare di disporre delle autorizzazioni appropriate come descritto nella sezione Prerequisiti della pagina del connettore.
In Configurazione selezionare +Aggiungi regola di raccolta dati. La procedura guidata Crea regola di raccolta dati verrà aperta a destra.
In Informazioni di base immettere un nome di regola e specificare una sottoscrizione e un gruppo di risorse in cui verrà creata la regola di raccolta dati . Non deve essere lo stesso gruppo di risorse o la stessa sottoscrizione in cui si trovano i computer monitorati e le relative associazioni, purché si trovino nello stesso tenant.
Nella scheda Risorse selezionare +Aggiungi risorse per aggiungere computer a cui verrà applicata la regola di raccolta dati. Verrà visualizzata la finestra di dialogo Selezionare un ambito e verrà visualizzato un elenco di sottoscrizioni disponibili. Espandere una sottoscrizione per visualizzarne i gruppi di risorse ed espandere un gruppo di risorse per visualizzare i computer disponibili. Nell'elenco verranno visualizzati Azure macchine virtuali e Azure server abilitati per Arc. È possibile contrassegnare le caselle di controllo delle sottoscrizioni o dei gruppi di risorse per selezionare tutti i computer che contengono oppure è possibile selezionare singoli computer. Selezionare Applica dopo aver scelto tutti i computer. Al termine di questo processo, l'agente di monitoraggio Azure verrà installato in tutti i computer selezionati che non lo hanno già installato.
Nella scheda Raccolta scegliere gli eventi da raccogliere: selezionare Tutti gli eventi o Personalizzato per specificare altri log o per filtrare gli eventi usando query XPath. Immettere espressioni nella casella che valutano criteri XML specifici per gli eventi da raccogliere, quindi selezionare Aggiungi. È possibile immettere fino a 20 espressioni in una singola casella e fino a 100 caselle in una regola.
Per altre informazioni, vedere la documentazione Azure Monitor.
Nota
Il connettore eventi Sicurezza di Windows offre altri due set di eventi predefiniti che è possibile scegliere di raccogliere: Common e Minimal.
L'agente di monitoraggio Azure supporta solo query XPath per XPath versione 1.0.
Per testare la validità di una query XPath, usare il cmdlet di PowerShell Get-WinEvent con il parametro -FilterXPath . Ad esempio:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- Se vengono restituiti eventi, la query è valida.
- Se viene visualizzato il messaggio "Non sono stati trovati eventi che corrispondono ai criteri di selezione specificati", la query potrebbe essere valida, ma non sono presenti eventi corrispondenti nel computer locale.
- Se viene visualizzato il messaggio "La query specificata non è valida", la sintassi della query non è valida.
Dopo aver aggiunto tutte le espressioni di filtro desiderate, selezionare Avanti: Rivedi e crea.
Quando viene visualizzato il messaggio Convalida superata , selezionare Crea.
Verranno visualizzate tutte le regole di raccolta dati, incluse quelle create tramite l'API, nella pagina Configurazione del connettore. Da qui è possibile modificare o eliminare le regole esistenti.
Creare regole di raccolta dati usando l'API
È anche possibile creare regole di raccolta dati usando l'API, che possono semplificare la vita se si creano molte regole, ad esempio se si è un provider di servizi condivisi. Di seguito è riportato un esempio (per il connettore Sicurezza di Windows Events via AMA) che è possibile usare come modello per la creazione di una regola:
URL e intestazione della richiesta
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Corpo della richiesta
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Per altre informazioni, vedere:
Passaggi successivi
Per ulteriori informazioni, vedere: