Подключение Microsoft Sentinel к другим службам Майкрософт с помощью соединителя данных на основе агента Windows
В этой статье описывается, как подключить Microsoft Sentinel к другим службы Майкрософт с помощью подключений на основе агента Windows. Microsoft Sentinel использует основу Azure для предоставления встроенной поддержки между службами для приема данных из многих служб Azure и Microsoft 365, Amazon Web Services и различных служб Windows Server. Существует несколько различных методов, с помощью которых эти подключения создаются.
В этой статье представлены сведения, которые являются общими для группы соединителей данных на основе агента Windows.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Агент Azure Monitor
Некоторые соединители на основе агента Azure Monitor (АМА) в настоящее время предоставляются в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Агент Azure Monitor в настоящее время поддерживается только для событий Безопасность Windows, событий пересылки Windows и событий Windows DNS.
Агент Azure Monitor использует правила сбора данных (DCR) для определения данных, которые нужно собирать с каждого агента. Правила сбора данных обеспечивают два отличительных преимущества:
Управление параметрами сбора в большом масштабе, сохраняя при этом уникальные конфигурации с заданной областью для подмножеств компьютеров. Они не зависят от рабочей области и от виртуальной машины, что позволяет определять их один раз и многократно использовать на разных компьютерах и в разных средах. См. раздел Настройка сбора данных для агента Azure Monitor.
Создание настраиваемых фильтров для выбора точных событий, которые требуется принять. Агент Azure Monitor использует эти правила для фильтрации данных в источнике и приема только нужных событий. Это поможет значительно сэкономить на приеме данных.
Сведения о создании правил сбора данных приведены ниже.
Необходимые компоненты
У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
Чтобы получать события из любой системы, которая не является виртуальной машиной Azure, в системе необходимо установить и включить Azure Arcперед включением соединителя на базе агента Azure Monitor.
В том числе:
- Серверы Windows, установленные на физических компьютерах
- Серверы Windows, установленные на локальных виртуальных машинах
- Серверы Windows, установленные на виртуальных машинах в облаках, отличных от Azure
Требования к соединителю данных:
Соединитель данных Лицензирование, затраты и другие сведения перенаправленные события Windows; — Необходимо включить и запустить коллекцию событий Windows (WEC).
Установите агент Azure Monitor на компьютер WEC.
— Мы рекомендуем установить средства синтаксического анализа расширенной информационной модели безопасности (ASIM), чтобы обеспечить полную поддержку нормализации данных. Эти средства синтаксического анализа можно развернуть изAzure-Sentinelрепозитория GitHub, нажав на кнопку Развернуть в Azure.Установите связанное решение Microsoft Sentinel из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Instructions
В меню навигации Microsoft Sentinel выберите Соединители данных. Выберите соединитель из списка, а затем щелкните Открыть страницу соединителя в области сведений. Затем выполняйте инструкции на открывшейся вкладке Инструкции, как описано в оставшейся части этой статьи.
Убедитесь, что есть соответствующие разрешения, описанные в статье Предварительные требования на странице соединителей.
В разделе Конфигурация выберите + Добавить правило сбора данных. Справа откроется мастер создания правил сбора данных.
В разделе Основные сведения введите имя правила и укажите подписку и группу ресурсов, в которых будет создано правило сбора данных. Это может быть не та же группа ресурсов или подписка, в которой находятся отслеживаемые компьютеры и их связи, но они должны находиться в одном клиенте.
На вкладке Ресурсы выберите + Добавить ресурсы, чтобы добавить компьютеры, к которым будет применяться правило сбора данных. Откроется диалоговое окно Выбор области, в котором вы увидите список доступных подписок. Разверните подписку, чтобы просмотреть ее группы ресурсов, и разверните группу ресурсов, чтобы просмотреть доступные компьютеры. В списке вы увидите виртуальные машины Azure и серверы с поддержкой Azure Arc. Отметьте флажками подписки или группы ресурсов, чтобы выбрать все компьютеры, которые они содержат, или выберите отдельные компьютеры. Выбрав все компьютеры, щелкните Применить. По завершении этого процесса агент Azure Monitor будет установлен на всех выбранных компьютерах, на которых он еще не установлен.
На вкладке Сбор выберите события для сбора данных: выберите Все события или Пользовательский, чтобы указать другие журналы или отфильтровать события с помощью запросов XPath (см. примечание ниже). Введите в поле выражения, которые вычисляют определенные критерии XML для собираемых событий, а затем нажмите кнопку Добавить. В одном поле можно ввести до 20 выражений, в одном правиле может быть до 100 полей.
Дополнительные сведения о правилах сбора данных см. в документации по Azure Monitor.
Примечание.
Соединитель событий безопасности Windows предлагает на выбор два других предварительно созданных набора событий для сбора данных: Общий и Минимальный.
Агент Azure Monitor поддерживает запросы XPath только для XPath версии 1.0.
После добавления всех нужных выражений фильтра выберите Далее: проверить и создать.
При появлении сообщения о том, что проверка пройдена, выберите Создать.
Вы увидите все правила сбора данных (включая созданные через API) в разделе Конфигурация на странице соединителя. Здесь можно изменять и удалять существующие правила.
Совет
Используйте командлет PowerShell Get-WinEvent с параметром -FilterXPath, чтобы проверить допустимость запроса XPath. Пример показан в приведенном ниже скрипте.
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Если события возвращаются, запрос является допустимым.
- При появлении сообщения "Не удалось найти события, соответствующие указанному условию выбора" запрос может быть допустимым, но на локальном компьютере нет соответствующих событий.
- Если получено сообщение "Запрос задан неверно", синтаксис запроса является недопустимым.
Создание правил сбора данных с помощью API
Также можно создавать правила сбора данных с помощью API (см. схему), чтобы упростить себе задачу при создании множества правил (например, если вы являетесь управляемым поставщиком службы безопасности). Ниже приведен пример (для соединителя событий безопасности Windows через AMA), который можно использовать в качестве шаблона для создания правила.
URL-адрес и заголовок запроса
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Текст запроса
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Ознакомьтесь с полным описанием правил сбора данных в документации по Azure Monitor.
Агент Log Analytics (прежних версий)
Агент Log Analytics будет снят с учета 31 августа 2024 г.. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуем начать планирование перехода на AMA. Дополнительные сведения см. в статье Переход на AMA для Microsoft Sentinel.
Необходимые компоненты
- У вас должны иметься разрешения на чтение и запись в рабочей области Log Analytics и в любой рабочей области, содержащей машины, из которых требуется получать журналы.
- У вас должна быть роль Участник Log Analytics в решении SecurityInsights (Microsoft Sentinel) в этих рабочих областях в дополнение к любым ролям Microsoft Sentinel.
Instructions
В меню навигации Microsoft Sentinel выберите Соединители данных.
Выберите свою службу (DNS или Брандмауэр Windows), после чего выберите Открыть страницу соединителя.
Установите и подключите агент на устройстве, которое создает журналы.
Тип компьютера Instructions Для виртуальной машины Windows Azure 1. В разделе Выберите место для установки агента разверните Установить агент на виртуальной машине Azure Windows.
2. Выберите ссылку "Скачать и установить" для виртуальных машин > Windows Azure.
3. В колонке Виртуальные машины выберите виртуальную машину для установки агента, после чего выберите Подключить. Повторите этот шаг для каждой виртуальной машины, которую вы хотите подключить.Для любой другой машины с Windows 1. В разделе Выберите место для установки агента разверните Установить агент на компьютере под управлением Windows, отличном от Azure
2. Выберите агент загрузки и установки для компьютеров, отличных > от Azure.
3. В колонке Управление агентами на вкладке Серверы Windows выберите ссылку Загрузить агент Windows для 32-разрядных или 64-разрядных систем соответственно.
4. Используя скачанный исполняемый файл, установите агент в нужных системах Windows и настройте его с помощью идентификатора и ключей рабочей области, которые отображаются под ссылками для загрузки, упомянутыми на предыдущем шаге.
Чтобы разрешить системам Windows без необходимого подключения к Интернету по-прежнему выполнять потоковую передачу событий в Microsoft Sentinel, скачайте и установите шлюз Log Analytics на отдельном компьютере, используя ссылку Скачать Шлюз Log Analytics на странице Управление агентами, чтобы использовать его в качестве прокси-сервера. В любом случае потребуется установить агент Log Analytics в каждой системе Windows, для которой требуется выполнять сбор событий.
Дополнительные сведения об этом сценарии см. в документации по шлюзу Log Analytics.
Дополнительные параметры установки и дополнительные сведения см. в документации по агенту Log Analytics.
Определение журналов для отправки
Для соединителей DNS-сервера Windows и брандмауэра Windows нажмите кнопку Установить решение. Для устаревшего соединителя событий безопасности выберите набор событий, который нужно отправить, и щелкните Обновить. Дополнительные сведения см. в статье Наборы событий безопасности Windows, которые могут быть отправлены в Microsoft Sentinel.
Вы можете найти и запросить данные для этих служб, используя имена таблиц в соответствующих разделах на странице Справка по соединителям данных.
Устранение неполадок соединителя данных Windows DNS Server
Если ваши события DNS не отображаются в Microsoft Sentinel:
- Убедитесь, что журналы аналитики DNS на серверах включены.
- Перейдите в Аналитику DNS Azure.
- В области Конфигурация измените любые параметры и сохраните изменения. Измените параметры обратно, если это необходимо, а затем снова сохраните изменения.
- Убедитесь, что события и запросы правильно отображаются в Аналитике DNS Azure.
Дополнительные сведения см. в статье Сбор сведений об инфраструктуре DNS с помощью решения"Аналитика DNS" (предварительная версия).
Дальнейшие действия
Дополнительные сведения см. в разделе: