Łączenie usługi Microsoft Sentinel z innymi usługami firmy Microsoft za pomocą łącznika danych opartego na agencie systemu Windows
W tym artykule opisano sposób łączenia usługi Microsoft Sentinel z innymi połączeniami opartymi na agentach systemu Windows usługi firmy Microsoft. Usługa Microsoft Sentinel używa agenta usługi Azure Monitor do zapewnienia wbudowanej obsługi pozyskiwania danych z wielu usług platformy Azure i platformy Microsoft 365, usług Amazon Web Services i różnych usług systemu Windows Server.
Agent usługi Azure Monitor używa reguł zbierania danych (DCR) do definiowania danych do zbierania danych z każdego agenta. Reguły zbierania danych oferują dwie odrębne korzyści:
Zarządzaj ustawieniami kolekcji na dużą skalę , jednocześnie zezwalając na unikatowe konfiguracje o określonym zakresie dla podzbiorów maszyn. Są one niezależne od obszaru roboczego i niezależne od maszyny wirtualnej, co oznacza, że można je zdefiniować raz i ponownie użyć na maszynach i środowiskach. Zobacz Konfigurowanie zbierania danych dla agenta usługi Azure Monitor.
Twórz filtry niestandardowe, aby wybrać dokładne zdarzenia, które chcesz pozyskać. Agent usługi Azure Monitor używa tych reguł do filtrowania danych w źródle i pozyskiwania tylko żądanych zdarzeń, pozostawiając wszystkie inne elementy. Pozwala to zaoszczędzić dużo pieniędzy na kosztach pozyskiwania danych.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Ważne
Niektóre łączniki oparte na agencie usługi Azure Monitor (AMA) są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wymagania wstępne
Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
Aby zbierać zdarzenia z dowolnego systemu, który nie jest maszyną wirtualną platformy Azure, system musi mieć zainstalowaną i włączoną usługę Azure Arc przed włączeniem łącznika opartego na agencie usługi Azure Monitor.
Obejmuje to:
- Serwery z systemem Windows zainstalowane na maszynach fizycznych
- Serwery z systemem Windows zainstalowane na lokalnych maszynach wirtualnych
- Serwery z systemem Windows zainstalowane na maszynach wirtualnych w chmurach spoza platformy Azure
Dla łącznika danych Zdarzenia przekazywane systemu Windows:
- Musisz mieć włączoną i uruchomioną funkcję Zbierania zdarzeń systemu Windows z zainstalowanym agentem usługi Azure Monitor na maszynie WEC.
- Zalecamy zainstalowanie analizatorów Advanced Security Information Model (ASIM), aby zapewnić pełną obsługę normalizacji danych. Te analizatory można wdrożyć z
Azure-Sentinelrepozytorium GitHub przy użyciu przycisku Wdróż na platformie Azure .
Zainstaluj powiązane rozwiązanie usługi Microsoft Sentinel z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.
Tworzenie reguł zbierania danych za pomocą graficznego interfejsu użytkownika
W usłudze Microsoft Sentinel wybierz pozycję Łączniki danych konfiguracji>. Wybierz łącznik z listy, a następnie wybierz pozycję Otwórz łącznik na stronie szczegółów. Następnie postępuj zgodnie z instrukcjami wyświetlanymi na ekranie na karcie Instrukcje zgodnie z opisem w pozostałej części tej sekcji.
Sprawdź, czy masz odpowiednie uprawnienia zgodnie z opisem w sekcji Wymagania wstępne na stronie łącznika.
W obszarze Konfiguracja wybierz pozycję +Dodaj regułę zbierania danych. Kreator tworzenia reguły zbierania danych zostanie otwarty po prawej stronie.
W obszarze Podstawy wprowadź nazwę reguły i określ subskrypcję i grupę zasobów, w której zostanie utworzona reguła zbierania danych (DCR). Nie musi to być ta sama grupa zasobów ani subskrypcja monitorowanych maszyn i ich skojarzeń, o ile znajdują się w tej samej dzierżawie.
Na karcie Zasoby wybierz pozycję +Dodaj zasoby , aby dodać maszyny, do których zostanie zastosowana reguła zbierania danych. Zostanie otwarte okno dialogowe Wybieranie zakresu i zostanie wyświetlona lista dostępnych subskrypcji. Rozwiń subskrypcję, aby wyświetlić jej grupy zasobów i rozwiń grupę zasobów, aby wyświetlić dostępne maszyny. Na liście zostaną wyświetlone maszyny wirtualne platformy Azure i serwery z obsługą usługi Azure Arc. Możesz zaznaczyć pola wyboru subskrypcji lub grup zasobów, aby wybrać wszystkie maszyny, które zawierają, lub wybrać poszczególne maszyny. Wybierz pozycję Zastosuj po wybraniu wszystkich maszyn. Na końcu tego procesu agent usługi Azure Monitor zostanie zainstalowany na wszystkich wybranych komputerach, które nie zostały jeszcze zainstalowane.
Na karcie Zbieranie wybierz zdarzenia, które chcesz zebrać: wybierz pozycję Wszystkie zdarzenia lub Niestandardowy, aby określić inne dzienniki lub filtrować zdarzenia przy użyciu zapytań XPath. Wprowadź wyrażenia w polu, które oceniają określone kryteria XML dla zdarzeń do zbierania, a następnie wybierz pozycję Dodaj. W jednym polu można wprowadzić maksymalnie 20 wyrażeń i maksymalnie 100 pól w regule.
Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Monitor.
Uwaga
Łącznik Zabezpieczenia Windows Events oferuje dwa inne wstępnie utworzone zestawy zdarzeń, które można zbierać: Wspólne i Minimalne.
Agent usługi Azure Monitor obsługuje zapytania XPath tylko dla programu XPath w wersji 1.0.
Aby przetestować ważność zapytania XPath, użyj polecenia cmdlet programu PowerShell Get-WinEvent z parametrem -FilterXPath . Na przykład:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- Jeśli zwracane są zdarzenia, zapytanie jest prawidłowe.
- Jeśli zostanie wyświetlony komunikat "Nie znaleziono zdarzeń spełniających określone kryteria wyboru", zapytanie może być prawidłowe, ale na komputerze lokalnym nie ma pasujących zdarzeń.
- Jeśli zostanie wyświetlony komunikat "Określone zapytanie jest nieprawidłowe", składnia zapytania jest nieprawidłowa.
Po dodaniu wszystkich żądanych wyrażeń filtru wybierz pozycję Dalej: Przejrzyj i utwórz.
Po wyświetleniu komunikatu Walidacja przekazana wybierz pozycję Utwórz.
Zobaczysz wszystkie reguły zbierania danych, w tym reguły utworzone za pośrednictwem interfejsu API, w obszarze Konfiguracja na stronie łącznika. Z tego miejsca można edytować lub usuwać istniejące reguły.
Tworzenie reguł zbierania danych przy użyciu interfejsu API
Możesz również utworzyć reguły zbierania danych przy użyciu interfejsu API, co może ułatwić życie, jeśli tworzysz wiele reguł, takich jak jeśli jesteś dostawcą usług w chmurze. Oto przykład (dla zdarzeń Zabezpieczenia Windows za pośrednictwem łącznika usługi AMA), którego można użyć jako szablonu do tworzenia reguły:
Adres URL żądania i nagłówek
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Treść żądania
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Aby uzyskać więcej informacji, zobacz:
Następne kroki
Aby uzyskać więcej informacji, zobacz: