Подключение с помощью событий безопасности через устаревший соединитель агента
Соединитель событий безопасности с использованием устаревшего агента позволяет передавать в рабочую область Microsoft Sentinel все события безопасности из систем Windows (серверов и рабочих станций, физических и виртуальных). Благодаря этому вы можете просматривать события безопасности Windows на своих информационных панелях, использовать их для создания настраиваемых оповещений, а также опираться на них в своих исследованиях. Вы более подробно узнали о сети организации и расширении возможностей операций по обеспечению безопасности. Вы можете выбрать события для потоковой передачи из следующих наборов.
Все события – все события безопасности Windows и события AppLocker.
Стандартный – стандартный набор событий, используемых для аудита. В этот набор включен полный аудиторский след пользователя. Например, он содержит события как входа, так и выхода пользователя (идентификаторы событий 4624, 4634). Существуют также действия аудита, такие как изменение группы безопасности, операции Kerberos для ключевых контроллеров домена и другие типы событий, соответствующие обычным рекомендациям.
Стандартный набор событий может содержать некоторые типы событий, которые не так распространены. Это связано с тем, что смысл стандартного набора — уменьшить объем событий до такого, с которым можно справиться, сохраняя при этом полный аудиторский след.
Минимальный – небольшой набор событий, которые могут указывать на потенциальные угрозы. Этот набор не содержит полный аудиторский след. Он охватывает только события, которые могут указывать на успешное нарушение безопасности и другие важные, но сравнительно редкие события. Например, он содержит успешные и неудачные попытки входа пользователей (идентификаторы событий 4624, 4625). Тем не менее он не содержит сведений о выходах (4634), которые, хотя и важны для аудита, не важны для обнаружения нарушений безопасности и имеет относительно большой объем. Большая часть объема данных этого набора состоит из событий входа и событий создания процессов (идентификатор события 4688).
Нет – никаких событий безопасности и событий AppLocker. (Этот параметр используется для отключения соединителя.)
Подключение виртуальных машин Windows Azure
Чтобы просмотреть страницу соединителя, выполните следующие действия.
Перейдите на страницу Соединители данных.
Выберите События безопасности.
Затем выберите страницу Открыть соединитель в области просмотра.
Убедитесь, что у вас есть необходимые разрешения, описанные в разделе «Предварительные требования».
Выберите Установка агента на виртуальной машине Windows Azure, а затем перейдите по ссылке ниже.
Выберите имя каждой виртуальной машины, которую необходимо подключить, в списке справа, а затем нажмите кнопку Подключить.
Выберите набор событий (Все, Стандартный или Минимальный), который требуется передать в поток.
Выберите Применить изменения.
Подключение компьютеров Windows, не относящихся к Azure
Чтобы просмотреть страницу соединителя, выполните следующие действия.
Перейдите на страницу Соединители данных.
Выберите События безопасности.
Затем выберите страницу Открыть соединитель в области просмотра.
Убедитесь, что у вас есть необходимые разрешения, описанные в разделе «Предварительные требования».
Выберите Установка агента на компьютере Windows, не относящемся к Azure, а затем перейдите по ссылке ниже.
Выберите соответствующие ссылки для загрузки, которые появляются справа в разделе Компьютеры Windows.
Используя загруженных исполняемый файл, установите агент в нужных системах Windows и настройте его с помощью идентификатора и ключей рабочей области, которые отображаются под вышеупомянутыми ссылками для загрузки.
Выберите набор событий (Все, Стандартный или Минимальный), который требуется передать в поток.
Выберите Применить изменения.
