Подключение с помощью событий безопасности Windows через соединитель AMA

  • 3 мин

Соединитель "События безопасности Windows, использующие AMA" применяет определенные правила для сбора данных от каждого агента. Правила сбора данных обеспечивают два отличительных преимущества:

  • Управление параметрами сбора в большом масштабе, сохраняя при этом уникальные конфигурации с заданной областью для подмножеств компьютеров. Они не зависят от рабочей области и от виртуальной машины, что позволяет определить их один раз и затем многократно использовать на разных компьютерах и в разных средах.

  • Создание настраиваемых фильтров для выбора точных событий, которые требуется принять. Агент Azure Monitor использует эти правила для фильтрации данных в источнике и приема только нужных событий.

Необходимые компоненты

  • У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.

  • Для получения событий с систем, не являющихся виртуальными машинами Azure, необходимо установить и активировать на этих системах Azure Arc и только потом включить соединитель на базе агента Azure Monitor.

В том числе:

- Windows servers installed on physical machines
- Windows servers installed on on-premises virtual machines
- Windows servers installed on virtual machines in non-Azure clouds

Подключение узлов Windows

  1. В меню навигации Microsoft Sentinel выберите Соединители данных.

  2. Выберите соединитель "События безопасности Windows, использующие AMA" из списка, а затем откройте страницу соединителя в области сведений.

  3. Убедитесь, что есть соответствующие разрешения, описанные в статье Предварительные требования на странице соединителей.

  4. В разделе Конфигурация выберите + Добавить правило сбора данных. Справа откроется мастер создания правил сбора данных.

  5. В разделе Основные сведения введите имя правила и укажите подписку и группу ресурсов, в которых будет создано правило сбора данных. Это не обязательно должна быть та же подписка или группа ресурсов, которой принадлежат отслеживаемые компьютеры и их связи. Главное — чтобы они были в одном клиенте.

  6. На вкладке Ресурсы выберите + Добавить ресурсы, чтобы добавить компьютеры, к которым будет применяться правило сбора данных. Откроется диалоговое окно Выбор области, в котором вы увидите список доступных подписок. Разверните подписку, чтобы просмотреть ее группы ресурсов, и разверните группу ресурсов, чтобы просмотреть доступные компьютеры. В списке вы увидите виртуальные машины Azure и серверы с поддержкой Azure Arc. Отметьте флажками подписки или группы ресурсов, чтобы выбрать все компьютеры, которые они содержат, или выберите отдельные компьютеры. Выбрав все компьютеры, щелкните Применить. По завершении этого процесса агент Azure Monitor будет установлен на всех выбранных компьютерах, на которых он еще не установлен.

  7. На вкладке "Сбор данных" укажите события, которые хотите получать. Выберите

    • все события безопасности;
    • Распространенный почтовый сервис
    • Минимальные
    • Пользовательское

    Примечание.

    Вариант "Пользовательский" позволяет указывать другие журналы или фильтровать события с помощью запросов XPath. Для запросов XPath можно ввести до 20 выражений в каждом поле. В одном правиле может быть до 100 полей. Агент Azure Monitor поддерживает запросы XPath только для XPath версии 1.0.

  8. После добавления всех нужных выражений фильтра выберите Далее: проверить и создать.

  9. При появлении сообщения "Проверка пройдена" нажмите кнопку "Создать".

Вы увидите все правила сбора данных (включая созданные через API) в разделе Конфигурация на странице соединителя. Здесь можно изменять и удалять существующие правила.

Проверка допустимости запроса XPath

Используйте командлет PowerShell Get-WinEvent с параметром -FilterXPath, чтобы проверить допустимость запроса XPath. Пример показан в приведенном ниже скрипте.

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • Если события возвращаются, запрос является допустимым.
  • При появлении сообщения "Не удалось найти события, соответствующие указанному условию выбора" запрос может быть допустимым, но на локальном компьютере нет соответствующих событий.
  • Если получено сообщение "Запрос задан неверно", синтаксис запроса является недопустимым.