Conectar o Microsoft Sentinel a outros serviços da Microsoft com um conector de dados baseado em agente do Windows
Este artigo descreve como conectar o Microsoft Sentinel a outros serviços da Microsoft por meio de conexões baseadas em agente do Windows. O Microsoft Sentinel usa a base do Azure para dar suporte interno de serviço a serviço à ingestão de dados de muitos serviços do Azure e do Microsoft 365, do Amazon Web Services e de vários serviços do Windows Server. Há alguns métodos diferentes para fazer essas conexões.
Este artigo apresenta informações comuns para o grupo de conectores de dados baseados em agente do Windows.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Agente do Azure Monitor
Alguns conectores baseados no AMA (Agente do Azure Monitor) estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Atualmente, o Agente Azure Monitor tem suporte apenas para Eventos de Segurança do Windows, Eventos Encaminhados do Windows e Eventos DNS do Windows.
O Agente do Azure Monitor usa DCRs (regras de coleta de dados) para definir os dados a serem coletados de cada agente. As regras de coleta de dados oferecem duas vantagens distintas:
Gerenciar configurações de coleta em escala e ainda permitir configurações exclusivas e com escopo para subconjuntos de computadores. Elas são independentes do workspace e da máquina virtual, o que significa que podem ser definidas uma vez e reutilizadas em computadores e ambientes. Confira Configurar a coleta de dados para o agente do Azure Monitor.
Criar filtros personalizados para escolher os eventos exatos que você deseja ingerir. O Agente do Azure Monitor usa essas regras para filtrar os dados na origem e ingerir apenas os eventos que você deseja, deixando todo o resto para trás. Isso pode economizar muito dinheiro em custos de ingestão de dados.
Veja abaixo como criar regras de coleta de dados.
Pré-requisitos
Você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
Para coletar eventos de qualquer sistema que não seja uma máquina virtual do Azure, o sistema precisa ter o Azure Arc instalado e habilitado antes de habilitar o conector baseado no Agente do Azure Monitor.
Isso inclui:
- Servidores Windows instalados em computadores físicos
- Servidores Windows instalados em máquinas virtuais locais
- Servidores Windows instalados em máquinas virtuais em nuvens não Azure
Requisitos específicos para o conector de dados:
Conector de dados Licenciamento, custos e outras informações Eventos Encaminhados do Windows - É necessário que a WEC (Coleção de eventos do Windows) esteja habilitada e em execução.
Instale o Agente do Azure Monitor no computador da WEC.
- É recomendável instalar os analisadores do ASIM (Modelo de Informações de Segurança Avançado) para garantir a compatibilidade completa com a normalização de dados. Você pode implantar esses analisadores doAzure-Sentinelrepositório de GitHub usando o botão Implantar no Azure localizado nele.Instale a solução relacionada do Microsoft Sentinel a partir do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.
Instruções
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados. Selecione o conector na lista e selecione a página Abrir conector no painel de detalhes. Em seguida, siga as instruções na tela na guia Instruções, conforme descrito no restante da seção.
Verifique se você tem as permissões apropriadas, conforme descrito na seção Pré-requisitos na página do conector.
Em Configuração, selecione +Adicionar regra de coleta de dados. O assistente Criar regra de coleta de dados será aberto à direita.
Em Noções básicas, insira um Nome de regra e especifique uma Assinatura e um Grupo de recursos em que a DCR (regra de coleta de dados) será criada. Isso não precisa ser no mesmo grupo de recursos ou assinatura em que os computadores monitorados e as associações estão, desde que eles estejam no mesmo locatário.
Na guia Recursos, selecione +Adicionar recursos para adicionar computadores aos quais a regra de coleta de dados será aplicada. A caixa de diálogo Selecionar um escopo será aberta e você verá uma lista de assinaturas disponíveis. Expanda uma assinatura para ver os grupos de recursos e expanda um grupo de recursos para ver os computadores disponíveis. Você verá máquinas virtuais do Azure e os servidores habilitados para Azure Arc na lista. Você pode marcar as caixas de seleção de assinaturas ou grupos de recursos para selecionar todos os computadores que eles contêm ou pode selecionar computadores individuais. Selecione Aplicar quando você tiver escolhido todos os seus computadores. No final desse processo, o Agente do Azure Monitor será instalado em todos os computadores selecionados que ainda não o tenham instalado.
Na guia Coletar, escolha os eventos que você gostaria de coletar: selecione Todos os eventos ou Personalizado para especificar outros logs ou para filtrar eventos usando Consultas XPath (confira a observação abaixo). Insira expressões na caixa que são avaliadas como critérios XML específicos para os eventos coletarem e selecione Adicionar. Você pode inserir até 20 expressões em uma caixa e até 100 caixas em uma regra.
Saiba mais sobre as regras de coleta de dados na documentação do Azure Monitor.
Observação
O conector de Eventos de Segurança do Windows oferece dois outros conjuntos de eventos pré-criados que você pode optar por coletar: Comum e Mínimo.
O agente do Azure Monitor dá suporte a consultas XPath somente para o XPath versão 1.0 .
Quando você adicionar todas as expressões de filtro que deseja, selecione Próximo: Examinar + criar.
Quando a mensagem "Validação aprovada" for exibida, selecione Criar.
Você verá todas as suas regras de coleta de dados (incluindo as criadas por meio da API) em Configuração na página do conector. Nela é possível editar ou excluir regras existentes.
Dica
Use o cmdlet do PowerShell Get-WinEvent com o parâmetro -FilterXPath para testar a validade de uma consulta XPath. O seguinte script mostra um exemplo:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Se eventos são retornados, a consulta é válida.
- Se você receber a mensagem "Não foi encontrado nenhum evento correspondente aos critérios de seleção especificados.", a consulta poderá ser válida, mas não haverá eventos correspondentes no computador local.
- Se você receber a mensagem "A consulta especificada é inválida", a sintaxe da consulta será inválida.
Criar regras de coleta de dados usando a API
Você também pode criar regras de coleta de dados usando a API (confira o esquema), que facilitará a sua vida se você estiver criando muitas regras (se você for um MSSP, por exemplo). Veja baixo um exemplo (para Eventos de Segurança do Windows por meio do conector do AMA) que você pode usar como um modelo para criar uma regra:
URL e cabeçalho da solicitação
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Corpo da solicitação
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Confira esta descrição completa das regras de coleta de dados na documentação do Azure Monitor.
Agente do Log Analytics (herdado)
O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics na implantação do Microsoft Sentinel, recomendamos que você comece a planejar a migração para o AMA. Para obter mais informações, consulte Migração para o AMA para Microsoft Sentinel.
Pré-requisitos
- Você deve ter permissões de leitura e gravação no workspace do Log Analytics e em todos os workspaces que contenham computadores dos quais você deseja coletar logs.
- Você deve ter a função de Colaborador do Log Analytics na solução SecurityInsights (Microsoft Sentinel) nesses workspaces, além de qualquer função do Microsoft Sentinel.
Instruções
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.
Selecione o serviço (DNS ou Firewall do Windows) e selecione a página Abrir conector.
Instale e integre o agente no dispositivo que gera os logs.
Tipo de computador Instruções Para uma VM do Windows Azure 1. Em Escolher onde instalar o agente, expanda Instalar o agente em uma máquina virtual do Azure Windows.
2. Selecione o link Baixar e instalar o agente para máquinas > virtuais do Windows do Azure.
3. Na folha Máquinas virtuais, selecione uma máquina virtual para instalar o agente e, em seguida, escolha Conectar. Repita essa etapa para cada VM que você deseja conectar.Em outros computadores Windows 1. Em Escolher onde instalar o agente, expanda Instalar o agente em uma máquina virtual Windows que não seja do Azure
2. Selecione o link Baixar e instalar o agente para computadores > Windows que não sejam do Azure.
3. Na folha Gerenciamento de agentes, na guia Servidores do Windows, selecione o link Baixar agente do Windows para sistemas de 32 ou 64 bits, como apropriado.
4. Usando o arquivo executável baixado, instale o agente nos sistemas Windows de sua escolha e configure-o usando as Chaves e ID do Workspace que aparecem abaixo dos links de download na etapa anterior.
Para permitir que os sistemas Windows sem a conectividade de Internet necessária ainda transmitam eventos para o Microsoft Sentinel, baixe e instale o Gateway de Log Analytics em um computador separado, usando o link Baixar Gateway do Log Analytics na página Gerenciamento de Agentes, para atuar como um proxy. Você ainda precisará instalar o agente do Log Analytics em cada sistema Windows cujos eventos você deseja coletar.
Para obter mais informações sobre esse cenário, confira a documentação do gateway do Log Analytics.
Para obter opções de instalação adicionais e mais detalhes, confira a documentação do agente do Log Analytics.
Determinar os logs a serem enviados
No servidor DNS do Windows e nos conectores do Firewall do Windows, selecione o botão Instalar solução. No conector de Eventos de Segurança herdado, escolha o conjunto de eventos que deseja enviar e selecione Atualizar. Para obter mais informações, consulte Conjuntos de eventos de segurança do Windows que podem ser enviados para o Microsoft Sentinel.
Você pode encontrar e consultar os dados desses serviços usando os nomes de tabela nas respectivas seções na página Referência de conectores de dados.
Solução de problemas do conector de dados do servidor DNS do Windows
Se os eventos do DNS não aparecerem no Microsoft Sentinel:
- Certifique-se de que os logs de análise de DNS em seus servidores estão habilitados.
- Vá para a Análise de DNS do Azure.
- Na área Configuração, altere qualquer uma das configurações e salve as alterações. Altere as configurações novamente se necessário e salve as alterações novamente.
- Verifique sua Análise de DNS do Azure para verificar se os eventos e consultas são exibidos corretamente.
Para obter mais informações, consulte Coletar insights sobre sua infraestrutura DNS com a solução Análise de DNS versão prévia.
Próximas etapas
Para obter mais informações, consulte: