Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como ligar Microsoft Sentinel a outras ligações baseadas em agentes do Windows dos serviços Microsoft. Microsoft Sentinel utiliza o Agente do Azure Monitor para fornecer suporte de serviço para ingestão de dados de muitos serviços do Azure e do Microsoft 365, Amazon Web Services e vários serviços de Windows Server.
O Agente Azure Monitor utiliza regras de recolha de dados (DCRs) para definir os dados a recolher de cada agente. As regras de recolha de dados oferecem-lhe duas vantagens distintas:
Gerir definições de coleção em escala , permitindo configurações exclusivas no âmbito de subconjunto de máquinas. São independentes da área de trabalho e independentes da máquina virtual, o que significa que podem ser definidas uma vez e reutilizadas em computadores e ambientes. Veja Configurar a recolha de dados para o Agente Azure Monitor.
Crie filtros personalizados para escolher os eventos exatos que pretende ingerir. O Agente do Azure Monitor utiliza estas regras para filtrar os dados na origem e ingerir apenas os eventos que pretende, deixando tudo o resto para trás. Isto pode poupar-lhe muito dinheiro em custos de ingestão de dados!
Observação
Para obter informações sobre a disponibilidade de funcionalidades nas clouds do Governo norte-americano, veja as tabelas de Microsoft Sentinel na disponibilidade de funcionalidades da Cloud para clientes do Governo norte-americano.
Importante
Alguns conectores baseados no Azure Monitor Agent (AMA) estão atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Pré-requisitos
Tem de ter permissões de leitura e escrita na área de trabalho Microsoft Sentinel.
Para recolher eventos de qualquer sistema que não seja uma máquina virtual Azure, o sistema tem de ter Azure Arc instalado e ativado antes de ativar o conector baseado no Agente do Azure Monitor.
Isso inclui:
- Servidores Windows instalados em computadores físicos
- Servidores Windows instalados em máquinas virtuais no local
- Servidores Windows instalados em máquinas virtuais em clouds não Azure
Para o conector de dados Eventos Reencaminhados do Windows:
- Tem de ter a Coleção de Eventos do Windows (WEC) ativada e em execução, com o Agente Azure Monitor instalado no computador WEC.
- Recomendamos que instale os analisadores do Modelo de Informação de Segurança Avançada (ASIM) para garantir o suporte total para a normalização de dados. Pode implementar estes analisadores a partir do repositório do
Azure-SentinelGitHub com o botão Implementar para Azure.
Instale a solução de Microsoft Sentinel relacionada a partir do Hub de Conteúdos no Microsoft Sentinel. Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial.
Criar regras de recolha de dados através da GUI
Em Microsoft Sentinel, selecioneConectores de Dados de Configuração>. Selecione o conector na lista e, em seguida, selecione Abrir página do conector no painel de detalhes. Em seguida, siga as instruções apresentadas no ecrã no separador Instruções , conforme descrito no resto desta secção.
Verifique se tem as permissões adequadas, conforme descrito na secção Pré-requisitos na página do conector.
Em Configuração, selecione +Adicionar regra de recolha de dados. O assistente Criar regra de recolha de dados será aberto à direita.
Em Noções básicas, introduza um Nome da regra e especifique uma Subscrição e um Grupo de recursos onde a regra de recolha de dados (DCR) será criada. Não tem de ser o mesmo grupo de recursos ou subscrição em que as máquinas monitorizadas e as respetivas associações estão, desde que estejam no mesmo inquilino.
No separador Recursos , selecione +Adicionar recursos para adicionar computadores aos quais a Regra de Recolha de Dados será aplicada. A caixa de diálogo Selecionar um âmbito será aberta e verá uma lista das subscrições disponíveis. Expanda uma subscrição para ver os respetivos grupos de recursos e expanda um grupo de recursos para ver as máquinas virtuais disponíveis. Verá Azure máquinas virtuais e Azure servidores preparados para o Arc na lista. Pode marcar as caixas de marcar de subscrições ou grupos de recursos para selecionar todas as máquinas virtuais que contêm ou pode selecionar máquinas individuais. Selecione Aplicar quando tiver escolhido todas as suas máquinas. No final deste processo, o Agente do Azure Monitor será instalado em quaisquer computadores selecionados que ainda não o tenham instalado.
No separador Recolher , selecione os eventos que pretende recolher: selecione Todos os eventos ou Personalizado para especificar outros registos ou para filtrar eventos com consultas XPath. Introduza expressões na caixa que são avaliadas como critérios XML específicos para os eventos a recolher e, em seguida, selecione Adicionar. Pode introduzir até 20 expressões numa única caixa e até 100 caixas numa regra.
Para obter mais informações, veja a documentação do Azure Monitor.
Observação
O conector Segurança do Windows Events oferece dois outros conjuntos de eventos pré-criados que pode escolher para recolher: Comum e Mínimo.
O Agente do Azure Monitor suporta consultas XPath apenas para xPath versão 1.0.
Para testar a validade de uma consulta XPath, utilize o cmdlet do PowerShell Get-WinEvent com o parâmetro -FilterXPath . Por exemplo:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- Se forem devolvidos eventos, a consulta é válida.
- Se receber a mensagem "Não foram encontrados eventos que correspondam aos critérios de seleção especificados", a consulta poderá ser válida, mas não existem eventos correspondentes no computador local.
- Se receber a mensagem "A consulta especificada é inválida", a sintaxe da consulta é inválida.
Depois de adicionar todas as expressões de filtro que pretende, selecione Seguinte: Rever + criar.
Quando vir a mensagem Validação aprovada , selecione Criar.
Verá todas as regras de recolha de dados, incluindo as criadas através da API, em Configuração na página do conector. A partir daí, pode editar ou eliminar regras existentes.
Criar regras de recolha de dados com a API
Também pode criar regras de recolha de dados com a API, o que pode facilitar a vida se estiver a criar muitas regras, como se fosse um MSSP. Eis um exemplo (para o Segurança do Windows Eventos através do conector AMA) que pode utilizar como modelo para criar uma regra:
URL e cabeçalho do pedido
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Corpo da solicitação
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Para saber mais, confira:
Próximas etapas
Para saber mais, confira: