Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób nawiązywania połączenia Microsoft Sentinel z innymi połączeniami opartymi na agentach systemu Windows usług firmy Microsoft. Microsoft Sentinel korzysta z agenta Azure Monitor, aby zapewnić wbudowaną obsługę między usługami w zakresie pozyskiwania danych z wielu usług Azure i Microsoft 365, usług Amazon Web Services i różnych usług Windows Server.
Agent monitorowania Azure używa reguł zbierania danych (DCRs) do definiowania danych do zbierania z każdego agenta. Reguły zbierania danych oferują dwie odrębne zalety:
Zarządzaj ustawieniami kolekcji na dużą skalę , jednocześnie zezwalając na unikatowe konfiguracje o określonym zakresie dla podzbiorów maszyn. Są one niezależne od obszaru roboczego i niezależne od maszyny wirtualnej, co oznacza, że mogą być definiowane raz i ponownie używane na maszynach i w środowiskach. Zobacz Konfigurowanie zbierania danych dla agenta Azure Monitor.
Skompiluj filtry niestandardowe , aby wybrać dokładne zdarzenia, które chcesz pozyskiwać. Agent Azure Monitor używa tych reguł do filtrowania danych w źródle i pozyskiwania tylko żądanych zdarzeń, pozostawiając wszystko inne. Dzięki temu możesz zaoszczędzić dużo pieniędzy na kosztach pozyskiwania danych.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów rządowych USA.
Ważna
Niektóre łączniki oparte na Azure Monitor Agent (AMA) są obecnie w wersji zapoznawczej. Aby uzyskać dodatkowe warunki prawne dotyczące funkcji Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze udostępnione do ogólnej dostępności, zobacz Dodatkowe warunki użytkowania usługi Microsoft Azure Preview.
Wymagania wstępne
Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym Microsoft Sentinel.
Aby zbierać zdarzenia z dowolnego systemu, który nie jest maszyną wirtualną Azure, system musi mieć zainstalowany i włączony Azure Arcprzed włączeniem łącznika opartego na Azure Monitor Agent.
Obejmują one:
- Serwery z systemem Windows zainstalowane na maszynach fizycznych
- Serwery z systemem Windows zainstalowane na lokalnych maszynach wirtualnych
- Serwery z systemem Windows zainstalowane na maszynach wirtualnych w chmurach innych niż Azure
W przypadku łącznika danych Zdarzenia przesyłane dalej w systemie Windows:
- Musisz mieć włączoną i uruchomioną kolekcję zdarzeń systemu Windows (WEC) z agentem Azure Monitor zainstalowanym na maszynie WEC.
- Zalecamy zainstalowanie analizatorów zaawansowanego modelu informacji o zabezpieczeniach (ASIM), aby zapewnić pełną obsługę normalizacji danych. Te analizatory można wdrożyć z
Azure-Sentinelrepozytorium GitHub przy użyciu przycisku Wdróż, aby Azure.
Zainstaluj powiązane rozwiązanie Microsoft Sentinel z centrum zawartości w Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie zawartości Microsoft Sentinel out-of-the-box i zarządzanie nią.
Tworzenie reguł zbierania danych za pośrednictwem graficznego interfejsu użytkownika
W Microsoft Sentinel wybierz pozycj꣹czniki danych konfiguracji>. Wybierz łącznik z listy, a następnie wybierz pozycję Otwórz stronę łącznika w okienku szczegółów. Następnie postępuj zgodnie z instrukcjami wyświetlanymi na ekranie na karcie Instrukcje , zgodnie z opisem w pozostałej części tej sekcji.
Sprawdź, czy masz odpowiednie uprawnienia zgodnie z opisem w sekcji Wymagania wstępne na stronie łącznika.
W obszarze Konfiguracja wybierz pozycję +Dodaj regułę zbierania danych. Kreator tworzenia reguły zbierania danych zostanie otwarty po prawej stronie.
W obszarze Podstawy wprowadź nazwę reguły i określ subskrypcję i grupę zasobów , w której zostanie utworzona reguła zbierania danych (DCR). Nie musi to być ta sama grupa zasobów ani subskrypcja monitorowanych maszyn, w których znajdują się ich skojarzenia, o ile znajdują się w tej samej dzierżawie.
Na karcie Zasoby wybierz pozycję +Dodaj zasoby , aby dodać maszyny, do których będzie stosowana reguła zbierania danych. Zostanie otwarte okno dialogowe Wybieranie zakresu . Zostanie wyświetlona lista dostępnych subskrypcji. Rozwiń subskrypcję, aby wyświetlić jej grupy zasobów, i rozwiń grupę zasobów, aby wyświetlić dostępne maszyny. Na liście zostaną wyświetlone Azure maszyn wirtualnych i serwerów z obsługą Azure Arc. Możesz zaznaczyć pola wyboru subskrypcji lub grup zasobów, aby wybrać wszystkie maszyny, które zawierają, lub wybrać poszczególne maszyny. Po wybraniu wszystkich maszyn wybierz pozycję Zastosuj . Po zakończeniu tego procesu agent Azure Monitor zostanie zainstalowany na wszystkich wybranych maszynach, które nie zostały jeszcze zainstalowane.
Na karcie Zbieranie wybierz zdarzenia, które chcesz zebrać: wybierz pozycję Wszystkie zdarzenia lub Niestandardowe , aby określić inne dzienniki lub filtrować zdarzenia przy użyciu zapytań XPath. Wprowadź wyrażenia w polu, które oceniają określone kryteria XML dla zdarzeń do zbierania, a następnie wybierz pozycję Dodaj. W jednym polu można wprowadzić maksymalnie 20 wyrażeń i maksymalnie 100 pól w regule.
Aby uzyskać więcej informacji, zobacz dokumentację Azure Monitor.
Uwaga
Łącznik zdarzeń Zabezpieczenia Windows oferuje dwa inne wstępnie utworzone zestawy zdarzeń, które można zebrać: Wspólne i Minimalne.
Agent Azure Monitor obsługuje tylko zapytania XPath dla programu XPath w wersji 1.0.
Aby przetestować ważność zapytania XPath, użyj polecenia cmdlet programu PowerShell Get-WinEvent z parametrem -FilterXPath . Przykład:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- Jeśli są zwracane zdarzenia, zapytanie jest prawidłowe.
- Jeśli zostanie wyświetlony komunikat "Nie znaleziono żadnych zdarzeń spełniających określone kryteria wyboru", zapytanie może być prawidłowe, ale na maszynie lokalnej nie ma żadnych zgodnych zdarzeń.
- Jeśli zostanie wyświetlony komunikat "Określone zapytanie jest nieprawidłowe", składnia zapytania jest nieprawidłowa.
Po dodaniu wszystkich żądanych wyrażeń filtru wybierz pozycję Dalej: Przejrzyj i utwórz.
Po wyświetleniu komunikatu Weryfikacja została przekazana wybierz pozycję Utwórz.
Wszystkie reguły zbierania danych, w tym utworzone za pośrednictwem interfejsu API, zostaną wyświetlone w obszarze Konfiguracja na stronie łącznika. Z tego miejsca można edytować lub usuwać istniejące reguły.
Tworzenie reguł zbierania danych przy użyciu interfejsu API
Można również tworzyć reguły zbierania danych przy użyciu interfejsu API, co może ułatwić życie w przypadku tworzenia wielu reguł, takich jak mssp. Oto przykład (dla zdarzeń Zabezpieczenia Windows za pośrednictwem łącznika AMA), którego można użyć jako szablonu do tworzenia reguły:
Adres URL żądania i nagłówek
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Treść żądania
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Więcej informacji można znaleźć w następujących artykułach:
Następne kroki
Więcej informacji można znaleźć w następujących artykułach: