Conectar-se usando os eventos de segurança do Windows por meio do conector do AMA

  • 3 minutos

O Conector de Eventos de Segurança do Windows via AMA usa DCRs (regras de coleta de dados) para definir os dados a serem coletados de cada agente. As regras de coleta de dados oferecem duas vantagens distintas:

  • Gerenciar configurações de coleta em escala e ainda permitir configurações exclusivas e com escopo para subconjuntos de computadores. Elas são independentes do workspace e da máquina virtual, o que significa que podem ser definidas uma vez e reutilizadas em computadores e ambientes.

  • Criar filtros personalizados para escolher os eventos exatos que você deseja ingerir. O Agente do Azure Monitor usa essas regras para filtrar os dados na origem e ingerir apenas os eventos que você deseja, deixando todo o resto para trás.

Pré-requisitos

  • Você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.

  • Para coletar eventos de qualquer sistema que não seja uma máquina virtual do Azure, o sistema precisa ter o Azure Arc instalado e habilitado antes de habilitar o conector baseado no Agente do Azure Monitor.

Isso inclui:

- Windows servers installed on physical machines
- Windows servers installed on on-premises virtual machines
- Windows servers installed on virtual machines in non-Azure clouds

Conectar hosts do Windows

  1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.

  2. Selecione os Eventos de Segurança do Windows por meio do conector AMA na lista e selecione a Abrir página do conector no painel de detalhes.

  3. Verifique se você tem as permissões apropriadas, conforme descrito na seção Pré-requisitos na página do conector.

  4. Em Configuração, selecione +Adicionar regra de coleta de dados. O assistente Criar regra de coleta de dados será aberto à direita.

  5. Em Noções básicas, insira um Nome de regra e especifique uma Assinatura e um Grupo de recursos em que a DCR (regra de coleta de dados) será criada. Ele não precisa estar no mesmo grupo de recursos ou assinatura em que os computadores monitorados e as associações estão, desde que estejam no mesmo locatário.

  6. Na guia Recursos, selecione +Adicionar recursos para adicionar computadores aos quais a regra de coleta de dados será aplicada. A caixa de diálogo Selecionar um escopo será aberta e você verá uma lista das assinaturas disponíveis. Expanda uma assinatura para ver os grupos de recursos e expanda um grupo de recursos para ver os computadores disponíveis. Você verá máquinas virtuais do Azure e os servidores habilitados para Azure Arc na lista. Você pode marcar as caixas de seleção de assinaturas ou grupos de recursos para selecionar todos os computadores que eles contêm ou pode selecionar computadores individuais. Selecione Aplicar quando você tiver escolhido todos os seus computadores. No final desse processo, o Agente do Azure Monitor será instalado em todos os computadores selecionados que ainda não o tenham instalado.

  7. Na guia Coletar, escolha os eventos que você deseja coletar. Selecione:

    • Todos os eventos de segurança
    • Comum
    • Minimal
    • Personalizado

    Observação

    Personalizar permite especificar outros logs ou filtrar eventos usando consultas de XPath. Para consultas de XPath, você pode inserir até 20 expressões em uma única caixa e até 100 caixas em uma regra. O agente do Azure Monitor dá suporte a consultas XPath somente para o XPath versão 1.0 .

  8. Quando você adicionar todas as expressões de filtro que deseja, selecione Próximo: Examinar + criar.

  9. Quando vir a mensagem "Validação aprovada", selecione Criar.

Você verá todas as suas regras de coleta de dados (incluindo as criadas por meio da API) em Configuração na página do conector. Nela é possível editar ou excluir regras existentes.

Testar a validade de uma consulta de XPath

Use o cmdlet do PowerShell Get-WinEvent com o parâmetro -FilterXPath para testar a validade de uma consulta XPath. O seguinte script mostra um exemplo:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • Se eventos são retornados, a consulta é válida.
  • Se você receber a mensagem "Não foi encontrado nenhum evento correspondente aos critérios de seleção especificados.", a consulta poderá ser válida, mas não haverá eventos correspondentes no computador local.
  • Se você receber a mensagem "A consulta especificada é inválida", a sintaxe da consulta será inválida.