Planejar o conector de eventos de segurança de hosts do Windows
Você tem três opções de conector de eventos de segurança do Windows para transmitir eventos de dispositivos Windows para o Microsoft Sentinel.
Com base nos requisitos de sua organização, você tem a opção de instalar um agente em cada dispositivo Windows para encaminhar eventos para o Microsoft Sentinel. Há dois agentes disponíveis:
- Conectar de Eventos de Segurança do Windows via AMA
- Conector de Eventos de Segurança via Agente Herdado
A segunda opção é configurar um dispositivo Coletor de Eventos do Windows para receber eventos de dispositivos Windows. O dispositivo Coletor de Eventos do Windows encaminharia eventos para o Microsoft Sentinel com o conector de Eventos Encaminhados do Windows.
Conector de Eventos de Segurança do Windows via AMA vs. Conector de Eventos de Segurança via Agente Herdado
O Conector de Eventos de Segurança do Windows via AMA tem as seguintes diferenças em relação do Conector de Eventos de Segurança via Agente Herdado:
Benefícios:
- Gerenciar configurações de coleção em escala
- Agente de Monitoramento do Azure compartilhado com outras soluções
- Melhorias de desempenho
- Aprimoramentos de segurança
Limitações:
- O Agente do Azure Monitor é lançado em versão prévia e tem suporte com o plano CSPM e o Microsoft Defender para Servidores Plano 2.
Requisitos:
- Dispositivos/VMs que não são do Azure exigem o Azure Arc.
Azure Arc
O Azure Arc é um agente instalado no dispositivo ou VM que permite que o dispositivo seja gerenciado da mesma forma que uma VM do Azure. O Azure Arc fornece outras funcionalidades, incluindo a execução de serviços baseados no Azure em um ambiente híbrido.