Планирование использования соединителя событий безопасности для узлов Windows
У вас есть три варианта соединителя событий безопасности Windows для потоковой передачи событий с устройств Windows в Microsoft Sentinel.
В соответствии с требованиями организации вы можете установить агент на каждом устройстве Windows для пересылки событий в Microsoft Sentinel. Доступно два агента:
- События Безопасности Windows при использовании соединителя AMA
- События безопасности при использовании устаревшего соединителя агента
Второй вариант — настроить устройство сборщика событий Windows для получения событий с устройств Windows. Затем устройство сборщика событий Windows перенаправит события в Microsoft Sentinel с помощью соединителя перенаправленных событий Windows.
События безопасности Windows при использовании соединителя AMA и события безопасности при использовании устаревшего соединителя агента
События безопасности Windows при использовании соединителя AMA имеют следующие отличия от событий безопасности при использовании устаревшего соединителя агента:
Преимущества:
- Управление параметрами коллекции в большом масштабе
- Агент мониторинга Azure, к которым предоставлен совместный доступ другим решениям
- Улучшения производительности
- Усовершенствования системы безопасности
Ограничения:
- Агент Azure Monitor выпущен в предварительной версии и поддерживается с планом CSPM и Microsoft Defender для серверов плана 2.
Требования:
- Для виртуальных машин, отличных от Azure, требуется Azure Arc.
Azure Arc
Azure Arc — это агент, установленный на устройстве или виртуальной машине, который позволяет управлять устройством так же, как виртуальной машиной Azure. Azure Arc предоставляет другие функции, включая запуск служб на основе Azure в гибридной среде.