Ligar o Microsoft Sentinel a outros serviços Microsoft com um conector de dados baseado em agente do Windows
Este artigo descreve como conectar o Microsoft Sentinel a outros serviços da Microsoft usando conexões baseadas em agente do Windows. O Microsoft Sentinel usa a base do Azure para fornecer suporte interno de serviço a serviço para ingestão de dados de muitos serviços do Azure e do Microsoft 365, Amazon Web Services e vários serviços do Windows Server. Existem alguns métodos diferentes através dos quais essas conexões são feitas.
Este artigo apresenta informações comuns ao grupo de conectores de dados baseados em agente do Windows.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Agente do Azure Monitor
Alguns conectores baseados no Azure Monitor Agent (AMA) estão atualmente em VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Atualmente, o Azure Monitor Agent tem suporte apenas para Eventos de Segurança do Windows, Eventos Encaminhados do Windows e Eventos DNS do Windows.
O agente do Azure Monitor usa regras de coleta de dados (DCRs) para definir os dados a serem coletados de cada agente. As regras de recolha de dados oferecem-lhe duas vantagens distintas:
Gerencie as configurações de coleta em escala e, ao mesmo tempo, permita configurações exclusivas e com escopo para subconjuntos de máquinas. Eles são independentes do espaço de trabalho e da máquina virtual, o que significa que podem ser definidos uma vez e reutilizados em máquinas e ambientes. Consulte Configurar a coleta de dados para o agente do Azure Monitor.
Crie filtros personalizados para escolher os eventos exatos que deseja ingerir. O Agente do Azure Monitor usa essas regras para filtrar os dados na origem e ingerir apenas os eventos desejados, deixando todo o resto para trás. Isto pode poupar-lhe muito dinheiro em custos de ingestão de dados!
Veja abaixo como criar regras de coleta de dados.
Pré-requisitos
Você deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel.
Para coletar eventos de qualquer sistema que não seja uma máquina virtual do Azure, o sistema deve ter o Azure Arc instalado e habilitado antes de habilitar o conector baseado no Azure Monitor Agent.
O que está incluído:
- Servidores Windows instalados em máquinas físicas
- Servidores Windows instalados em máquinas virtuais locais
- Servidores Windows instalados em máquinas virtuais em nuvens que não sejam do Azure
Requisitos específicos do conector de dados:
Conector de dados Licenciamento, custos e outras informações Eventos encaminhados do Windows - Você deve ter a Coleta de Eventos do Windows (WEC) habilitada e em execução.
Instale o Azure Monitor Agent na máquina WEC.
- Recomendamos a instalação dos analisadores ASIM (Advanced Security Information Model) para garantir suporte total à normalização de dados. Você pode implantar esses analisadores doAzure-Sentinelrepositório GitHub usando o botão Implantar no Azure lá.Instale a solução Microsoft Sentinel relacionada a partir do Content Hub no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.
Instruções
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados. Selecione o conector na lista e, em seguida, selecione Abrir página do conector no painel de detalhes. Em seguida, siga as instruções no ecrã no separador Instruções, conforme descrito no resto desta secção.
Verifique se você tem as permissões apropriadas, conforme descrito na seção Pré-requisitos na página do conector.
Em Configuração, selecione +Adicionar regra de coleta de dados. O assistente Criar regra de coleta de dados será aberto à direita.
Em Noções básicas, insira um nome de regra e especifique um grupo de Assinatura e Recursos onde a regra de coleta de dados (DCR) será criada. Isso não precisa ser o mesmo grupo de recursos ou assinatura em que as máquinas monitoradas e suas associações estão, desde que estejam no mesmo locatário.
Na guia Recursos, selecione +Adicionar recurso(s) para adicionar máquinas às quais a Regra de Coleta de Dados será aplicada. A caixa de diálogo Selecione um escopo será aberta e você verá uma lista de assinaturas disponíveis. Expanda uma assinatura para ver seus grupos de recursos e expanda um grupo de recursos para ver as máquinas disponíveis. Você verá máquinas virtuais do Azure e servidores habilitados para Azure Arc na lista. Você pode marcar as caixas de seleção de assinaturas ou grupos de recursos para selecionar todas as máquinas que elas contêm, ou pode selecionar máquinas individuais. Selecione Aplicar quando tiver escolhido todas as suas máquinas. No final desse processo, o Agente do Azure Monitor será instalado em todas as máquinas selecionadas que ainda não o tenham instalado.
Na guia Coletar, escolha os eventos que deseja coletar: selecione Todos os eventos ou Personalizado para especificar outros logs ou filtrar eventos usando consultas XPath (veja a observação abaixo). Insira expressões na caixa que avaliam critérios XML específicos para eventos a serem coletados e selecione Adicionar. Você pode inserir até 20 expressões em uma única caixa e até 100 caixas em uma regra.
Saiba mais sobre as regras de coleta de dados na documentação do Azure Monitor.
Nota
O conector de Eventos de Segurança do Windows oferece dois outros conjuntos de eventos pré-criados que você pode optar por coletar: Comum e Mínimo.
O agente do Azure Monitor suporta consultas XPath apenas para XPath versão 1.0.
Depois de adicionar todas as expressões de filtro desejadas, selecione Avançar: Revisar + criar.
Quando vir a mensagem "Validação aprovada", selecione Criar.
Você verá todas as suas regras de coleta de dados (incluindo aquelas criadas por meio da API) em Configuração na página do conector. A partir daí, você pode editar ou excluir regras existentes.
Gorjeta
Use o cmdlet do PowerShell Get-WinEvent com o parâmetro -FilterXPath para testar a validade de uma consulta XPath . O script a seguir mostra um exemplo:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Se os eventos forem retornados, a consulta será válida.
- Se você receber a mensagem "Não foram encontrados eventos que correspondam aos critérios de seleção especificados", a consulta pode ser válida, mas não há eventos correspondentes na máquina local.
- Se você receber a mensagem "A consulta especificada é inválida", a sintaxe da consulta é inválida.
Criar regras de coleta de dados usando a API
Você também pode criar regras de coleta de dados usando a API (consulte o esquema), o que pode facilitar a vida se você estiver criando muitas regras (se você for um MSSP, por exemplo). Eis um exemplo (para os Eventos de Segurança do Windows através do conector AMA ) que pode utilizar como modelo para criar uma regra:
URL e cabeçalho da solicitação
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Corpo do pedido
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Consulte esta descrição completa das regras de coleta de dados na documentação do Azure Monitor.
Agente do Log Analytics (Legado)
O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics em sua implantação do Microsoft Sentinel, recomendamos que comece a planejar sua migração para a AMA. Para obter mais informações, consulte Migração AMA para o Microsoft Sentinel.
Pré-requisitos
- Você deve ter permissões de leitura e gravação no espaço de trabalho do Log Analytics e em qualquer espaço de trabalho que contenha máquinas das quais você deseja coletar logs.
- Você deve ter a função de Colaborador do Log Analytics na solução SecurityInsights (Microsoft Sentinel) nesses espaços de trabalho, além de quaisquer funções do Microsoft Sentinel.
Instruções
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.
Selecione o seu serviço (DNS ou Firewall do Windows) e, em seguida, selecione Abrir página do conector.
Instale e integre o agente no dispositivo que gera os logs.
Tipo de máquina Instruções Para uma VM do Windows do Azure 1. Em Escolha onde instalar o agente, expanda Instalar agente na máquina virtual Windows do Azure.
2. Selecione o link Baixar & instalar agente para máquinas > virtuais do Windows do Azure.
3. Na folha Máquinas virtuais, selecione uma máquina virtual na qual instalar o agente e, em seguida, selecione Conectar. Repita esta etapa para cada VM que você deseja conectar.Para qualquer outra máquina Windows 1. Em Escolha onde instalar o agente, expanda Instalar agente em máquinas Windows que não sejam do Azure
2. Selecione o link Baixar & instalar agente para máquinas > Windows que não sejam do Azure.
3. Na folha Gerenciamento de agentes, na guia Servidores Windows, selecione o link Baixar agente do Windows para sistemas de 32 bits ou 64 bits, conforme apropriado.
4. Usando o arquivo executável baixado, instale o agente nos sistemas Windows de sua escolha e configure-o usando o ID e as chaves do espaço de trabalho que aparecem abaixo dos links de download na etapa anterior.
Para permitir que os sistemas Windows sem a conectividade necessária com a Internet ainda transmitam eventos para o Microsoft Sentinel, baixe e instale o Log Analytics Gateway em uma máquina separada, usando o link Baixar Log Analytics Gateway na página Gerenciamento de agentes, para atuar como um proxy. Você ainda precisa instalar o agente do Log Analytics em cada sistema Windows cujos eventos você deseja coletar.
Para obter mais informações sobre esse cenário, consulte a documentação do gateway do Log Analytics.
Para obter opções de instalação adicionais e mais detalhes, consulte a documentação do agente do Log Analytics.
Determinar os logs a serem enviados
Para os conectores Servidor DNS do Windows e Firewall do Windows, selecione o botão Instalar solução . Para o conector de Eventos de Segurança herdado, escolha o conjunto de eventos que deseja enviar e selecione Atualizar. Para obter mais informações, consulte Conjuntos de eventos de segurança do Windows que podem ser enviados ao Microsoft Sentinel.
Você pode encontrar e consultar os dados desses serviços usando os nomes das tabelas em suas respetivas seções na página de referência de conectores de dados.
Solucionar problemas do conector de dados do servidor DNS do Windows
Se os eventos DNS não aparecerem no Microsoft Sentinel:
- Certifique-se de que os logs de análise de DNS em seus servidores estão habilitados.
- Vá para Azure DNS Analytics.
- Na área Configuração, altere qualquer uma das configurações e salve as alterações. Altere as configurações novamente, se necessário, e salve as alterações novamente.
- Verifique o Azure DNS Analytics para se certificar de que os seus eventos e consultas são apresentados corretamente.
Para obter mais informações, consulte Reunir informações sobre sua infraestrutura de DNS com a solução DNS Analytics Preview.
Próximos passos
Para obter mais informações, consulte: