Verbinding maken Microsoft Sentinel met andere Microsoft-services met een Gegevensconnector op basis van een Windows-agent

In dit artikel wordt beschreven hoe u Microsoft Sentinel verbinding kunt maken met andere Windows-services windows-verbindingen. Microsoft Sentinel gebruikt de Azure Monitor-agent om ingebouwde service-naar-service-ondersteuning te bieden voor gegevensopname van veel Azure- en Microsoft 365-services, Amazon Web Services en verschillende Windows Server-services.

De Azure Monitor Agent maakt gebruik van gegevensverzamelingsregels (DCR's) om de gegevens te definiëren die van elke agent moeten worden verzameld. Regels voor gegevensverzameling bieden u twee verschillende voordelen:

• Beheer verzamelingsinstellingen op schaal terwijl u toch unieke configuraties met een bereik toestaat voor subsets van machines. Ze zijn onafhankelijk van de werkruimte en onafhankelijk van de virtuele machine, wat betekent dat ze eenmaal kunnen worden gedefinieerd en opnieuw kunnen worden gebruikt op verschillende machines en omgevingen. Zie Gegevensverzameling configureren voor de Azure Monitor-agent.

• Bouw aangepaste filters om de exacte gebeurtenissen te kiezen die u wilt opnemen. De Azure Monitor-agent gebruikt deze regels om de gegevens bij de bron te filteren en alleen de gewenste gebeurtenissen op te nemen, terwijl alles achterblijft. Dit kan u veel geld besparen in kosten voor gegevensopname.

Opmerking

Zie voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid de Microsoft Sentinel tabellen in Beschikbaarheid van cloudfuncties voor klanten van de Amerikaanse overheid.

Belangrijk

Sommige connectors op basis van de Azure Monitor Agent (AMA) zijn momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.

Vereisten

• U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel werkruimte.

• Als u gebeurtenissen wilt verzamelen van een systeem dat geen Azure virtuele machine is, moet op het systeem Azure Arc zijn geïnstalleerd en ingeschakeld voordat u de connector op basis van Azure Monitor Agent inschakelt.

  Dit zijn:

  • Windows-servers die zijn geïnstalleerd op fysieke machines
  • Windows-servers die zijn geïnstalleerd op on-premises virtuele machines
  • Windows-servers die zijn geïnstalleerd op virtuele machines in niet-Azure clouds

• Voor de gegevensconnector voor doorgestuurde gebeurtenissen van Windows:

  • Windows Event Collection (WEC) moet zijn ingeschakeld en uitgevoerd, waarbij de Azure Monitor Agent is geïnstalleerd op de WEC-computer.
  • U wordt aangeraden de ASIM-parsers (Advanced Security Information Model) te installeren om volledige ondersteuning voor gegevensnormalisatie te garanderen. U kunt deze parsers implementeren vanuit de Azure-Sentinel GitHub-opslagplaats met behulp van de knop Implementeren naar Azure daar.

• Installeer de gerelateerde Microsoft Sentinel-oplossing vanuit de Content Hub in Microsoft Sentinel. Zie Out-of-the-Box-inhoud van Microsoft Sentinel detecteren en beheren voor meer informatie.

Regels voor gegevensverzameling maken via de GUI

1. Selecteerconfiguratiegegevensconnectors> in Microsoft Sentinel. Selecteer uw connector in de lijst en selecteer vervolgens Connectorpagina openen in het detailvenster. Volg vervolgens de instructies op het scherm op het tabblad Instructies , zoals beschreven in de rest van deze sectie.

2. Controleer of u over de juiste machtigingen beschikt, zoals beschreven in de sectie Vereisten op de connectorpagina.

3. Selecteer onder Configuratiede optie +Regel voor gegevensverzameling toevoegen. De wizard Regel voor gegevensverzameling maken wordt aan de rechterkant geopend.

4. Voer onder Basisbeginselen een regelnaam in en geef een abonnement en resourcegroep op waar de regel voor gegevensverzameling (DCR) wordt gemaakt. Dit hoeft niet dezelfde resourcegroep of hetzelfde abonnement te zijn waarin de bewaakte machines en hun koppelingen zich bevinden, zolang ze zich in dezelfde tenant bevinden.

5. Selecteer op het tabblad Resourcesde optie +Resource(s) toevoegen om machines toe te voegen waarop de regel voor gegevensverzameling van toepassing is. Het dialoogvenster Een bereik selecteren wordt geopend en u ziet een lijst met beschikbare abonnementen. Vouw een abonnement uit om de resourcegroepen te bekijken en vouw een resourcegroep uit om de beschikbare machines te zien. U ziet Azure virtuele machines en Azure servers met Arc in de lijst. U kunt de selectievakjes van abonnementen of resourcegroepen markeren om alle computers te selecteren die ze bevatten, of u kunt afzonderlijke computers selecteren. Selecteer Toepassen wanneer u al uw computers hebt gekozen. Aan het einde van dit proces wordt de Azure Monitor Agent geïnstalleerd op alle geselecteerde computers waarop deze nog niet is geïnstalleerd.

6. Kies op het tabblad Verzamelen de gebeurtenissen die u wilt verzamelen: selecteer Alle gebeurtenissen of Aangepast om andere logboeken op te geven of om gebeurtenissen te filteren met behulp van XPath-query's. Voer expressies in het vak in die specifieke XML-criteria voor het verzamelen van gebeurtenissen evalueren en selecteer vervolgens Toevoegen. U kunt maximaal 20 expressies invoeren in één vak en maximaal 100 vakken in een regel.

   Zie de documentatie Azure Monitor voor meer informatie.

   Opmerking

   • De Windows-beveiliging Events-connector biedt twee andere vooraf gemaakte gebeurtenissenets die u kunt verzamelen: Algemeen en Minimaal.

   • De Azure Monitor Agent ondersteunt alleen XPath-query's voor XPath versie 1.0.

   Als u de geldigheid van een XPath-query wilt testen, gebruikt u de PowerShell-cmdlet Get-WinEvent met de parameter -FilterXPath . Bijvoorbeeld:

   $XPath = '*[System[EventID=1035]]'
   Get-WinEvent -LogName 'Application' -FilterXPath $XPath
   

   • Als gebeurtenissen worden geretourneerd, is de query geldig.
   • Als u het bericht 'Er zijn geen gebeurtenissen gevonden die overeenkomen met de opgegeven selectiecriteria' ontvangt, is de query mogelijk geldig, maar zijn er geen overeenkomende gebeurtenissen op de lokale computer.
   • Als u het bericht 'De opgegeven query is ongeldig' ontvangt, is de querysyntaxis ongeldig.

7. Wanneer u alle gewenste filterexpressies hebt toegevoegd, selecteert u Volgende: Controleren en maken.

8. Wanneer u het bericht Validatie geslaagd ziet, selecteert u Maken.

U ziet al uw regels voor gegevensverzameling, inclusief de regels die via de API zijn gemaakt, onder Configuratie op de connectorpagina. Van daaruit kunt u bestaande regels bewerken of verwijderen.

Regels voor gegevensverzameling maken met behulp van de API

U kunt ook regels voor gegevensverzameling maken met behulp van de API, waardoor u het leven gemakkelijker kunt maken als u veel regels maakt, bijvoorbeeld als u een MSSP bent. Hier volgt een voorbeeld (voor de Windows-beveiliging Gebeurtenissen via AMA-connector) dat u kunt gebruiken als sjabloon voor het maken van een regel:

Aanvraag-URL en header

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Aanvraagtekst

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Zie voor meer informatie:

• Regels voor gegevensverzameling (DDR's) in Azure Monitor
• API-schema voor regels voor gegevensverzameling

Volgende stappen

Zie voor meer informatie:

• catalogus met Microsoft Sentinel oplossingen
• Integratie van bedreigingsinformatie in Microsoft Sentinel