Windows aracısı tabanlı bir veri bağlayıcısıyla Microsoft Sentinel'i diğer Microsoft hizmetlerine bağlama

  • Makale

Bu makalede, Windows aracı tabanlı bağlantılar kullanarak Microsoft Sentinel'in diğer Microsoft hizmetleri nasıl bağlandığı açıklanır. Microsoft Sentinel, birçok Azure ve Microsoft 365 hizmetinden, Amazon Web Services'ten ve çeşitli Windows Server hizmetlerinden veri alımı için yerleşik, hizmetten hizmete destek sağlamak için Azure temelini kullanır. Bu bağlantıların yapıldığı birkaç farklı yöntem vardır.

Bu makalede, Windows aracı tabanlı veri bağlayıcıları grubu için ortak olan bilgiler sağlanır.

Dekont

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Azure İzleyici Aracısı

Azure İzleyici Aracısı'nı (AMA) temel alan bazı bağlayıcılar şu anda ÖNIZLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Azure İzleyici Aracısı şu anda yalnızca Windows Güvenliği Olayları, Windows İletilen Olaylar ve Windows DNS Olayları için desteklenmektedir.

Azure İzleyici aracısı, her aracıdan toplayacak verileri tanımlamak için Veri toplama kurallarını (DCR) kullanır. Veri toplama kuralları size iki farklı avantaj sunar:

  • Makinelerin alt kümeleri için benzersiz, kapsamlı yapılandırmalara izin verirken koleksiyon ayarlarını uygun ölçekte yönetin. Çalışma alanından bağımsızdır ve sanal makineden bağımsızdır, yani bir kez tanımlanabilir ve makineler ve ortamlar arasında yeniden kullanılabilirler. Bkz. Azure İzleyici aracısı için veri toplamayı yapılandırma.

  • Almak istediğiniz olayları tam olarak seçmek için özel filtreler oluşturun. Azure İzleyici Aracısı bu kuralları kullanarak kaynakta verileri filtreler ve yalnızca istediğiniz olayları alır ve diğer her şeyi geride bırakır. Bu, veri alımı maliyetlerinden çok tasarruf etmenizi sağlayabilir!

Aşağıda veri toplama kurallarının nasıl oluşturulduğuna bakın.

Önkoşullar

  • Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.

  • Azure sanal makinesi olmayan herhangi bir sistemden olay toplamak için, Azure İzleyici Aracısı tabanlı bağlayıcıyı etkinleştirmeden önce sistemde Azure Arc yüklü ve etkin olmalıdır.

    Buna aşağıdakiler dahildir:

    • Fiziksel makinelerde yüklü Windows sunucuları
    • Şirket içi sanal makinelerde yüklü Windows sunucuları
    • Azure dışı bulutlardaki sanal makinelere yüklenen Windows sunucuları

  • Veri bağlayıcısı özel gereksinimleri:

    Veri bağlayıcı Lisanslama, maliyetler ve diğer bilgiler
    Windows İletilen Olaylar - Windows Olay Koleksiyonu'nu (WEC) etkinleştirmiş ve çalıştırmış olmanız gerekir.
    WEC makinesine Azure İzleyici Aracısı'nı yükleyin.
    - Veri normalleştirme için tam destek sağlamak için Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcılarını yüklemenizi öneririz. Bu ayrıştırıcıları GitHub deposundaki Azure-Sentinel Azure'a Dağıt düğmesini kullanarak dağıtabilirsiniz.

  • Microsoft Sentinel'de İçerik Merkezi'nden ilgili Microsoft Sentinel çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

Yönergeler

  1. Microsoft Sentinel gezinti menüsünden Veri bağlayıcıları'nı seçin. Listeden bağlayıcınızı seçin ve ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin. Ardından, bu bölümün geri kalanında açıklandığı gibi Yönergeler sekmesinin altındaki ekrandaki yönergeleri izleyin.

  2. Bağlayıcı sayfasındaki Önkoşullar bölümünde açıklandığı gibi uygun izinlere sahip olduğunuzu doğrulayın.

  3. Yapılandırma'nın altında +Veri toplama kuralı ekle'yi seçin. Veri toplama kuralı oluşturma sihirbazı sağ tarafta açılır.

  4. Temel Bilgiler'in altında bir Kural adı girin ve veri toplama kuralının (DCR) oluşturulacağı Abonelikve Kaynak grubunu belirtin. Bunun, izlenen makinelerin ve ilişkilerinin aynı kiracıda olduğu sürece aynı kaynak grubu veya abonelik olması gerekmez.

  5. Veri Toplama Kuralı'nın uygulanacağı makineleri eklemek için Kaynaklar sekmesinde +Kaynak ekle'yi seçin. Kapsam seçin iletişim kutusu açılır ve kullanılabilir aboneliklerin listesini görürsünüz. Kaynak gruplarını görmek için aboneliği genişletin ve kullanılabilir makineleri görmek için bir kaynak grubunu genişletin. Listede Azure sanal makineleri ve Azure Arc özellikli sunucular görürsünüz. Aboneliklerin veya kaynak gruplarının onay kutularını işaretleyebilir ve içerdikleri tüm makineleri seçebilir veya tek tek makineleri seçebilirsiniz. Tüm makinelerinizi seçtiğinizde Uygula'yı seçin. Bu işlemin sonunda, Azure İzleyici Aracısı henüz yüklü olmayan seçili makinelere yüklenir.

  6. Topla sekmesinde, toplamak istediğiniz olayları seçin: Diğer günlükleri belirtmek veya XPath sorgularını kullanarak olayları filtrelemek için Tüm olaylar veya Özel'i seçin (aşağıdaki nota bakın). Toplaması gereken olaylar için belirli XML ölçütlerini değerlendiren ifadeleri kutuya girin ve Ekle'yi seçin. Tek bir kutuya en fazla 20 ifade ve bir kurala en çok 100 kutu girebilirsiniz.

    Azure İzleyici belgelerinden veri toplama kuralları hakkında daha fazla bilgi edinin.

    Dekont

    • Windows Güvenliği Olayları bağlayıcısı, toplamayı seçebileceğiniz iki önceden oluşturulmuş olay kümesi daha sunar: Ortak ve En Az.

    • Azure İzleyici aracısı yalnızca XPath sürüm 1.0 için XPath sorgularını destekler.

  7. İstediğiniz tüm filtre ifadelerini eklediğinizde İleri: Gözden geçir + oluştur'u seçin.

  8. "Doğrulama başarılı oldu" iletisini gördüğünüzde Oluştur'u seçin.

Bağlayıcı sayfasındaki Yapılandırma bölümünde tüm veri toplama kurallarınızı (API aracılığıyla oluşturulanlar dahil) görürsünüz. Buradan mevcut kuralları düzenleyebilir veya silebilirsiniz.

Bahşiş

XPath sorgusunun geçerliliğini test etmek için Get-WinEvent PowerShell cmdlet'ini -FilterXPath parametresiyle kullanın. Aşağıdaki betik bir örnek gösterir:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • Olaylar döndürülürse sorgu geçerli olur.
  • "Belirtilen seçim ölçütlerine uyan hiçbir olay bulunamadı" iletisini alırsanız sorgu geçerli olabilir, ancak yerel makinede eşleşen olay yok.
  • "Belirtilen sorgu geçersiz" iletisini alırsanız, sorgu söz dizimi geçersizdir.

API kullanarak veri toplama kuralları oluşturma

Ayrıca API'yi kullanarak veri toplama kuralları da oluşturabilirsiniz (şemaya bakın), bu da çok sayıda kural oluşturuyorsanız (örneğin MSSP'yseniz) hayatı kolaylaştırabilir. Kural oluşturmak için şablon olarak kullanabileceğiniz bir örnek (AMA bağlayıcısı aracılığıyla Windows Güvenliği Olayları için):

İstek URL'si ve üst bilgisi

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

İstek gövdesi

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Azure İzleyici belgelerinden veri toplama kurallarının bu tam açıklamasına bakın.

Log Analytics Aracısı (Eski)

Log Analytics aracısı 31 Ağustos 2024'te kullanımdan kaldırılacaktır. Microsoft Sentinel dağıtımınızda Log Analytics aracısını kullanıyorsanız AMA'ya geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz . Microsoft Sentinel için AMA geçişi.

Önkoşullar

  • Log Analytics çalışma alanında ve günlükleri toplamak istediğiniz makineleri içeren herhangi bir çalışma alanında okuma ve yazma izinleriniz olmalıdır.
  • Tüm Microsoft Sentinel rollerine ek olarak bu çalışma alanlarında Güvenlik Analizler (Microsoft Sentinel) çözümünde Log Analytics Katkıda Bulunanı rolüne sahip olmanız gerekir.

Yönergeler

  1. Microsoft Sentinel gezinti menüsünden Veri bağlayıcıları'nı seçin.

  2. Hizmetinizi (DNS veya Windows Güvenlik Duvarı) ve ardından Bağlayıcı sayfasını aç'ı seçin.

  3. Günlükleri oluşturan cihaza aracıyı yükleyin ve ekleyin.

    Makine türü Yönergeler
    Azure Windows VM için 1. Aracının yükleneceği yeri seçin altında Azure Windows sanal makinesine aracı yükle'yi genişletin.

    2. Azure Windows Sanal makineleri > için aracıyı indir ve yükle bağlantısını seçin.

    3. Sanal makineler dikey penceresinde aracıyı yüklemek için bir sanal makine seçin ve ardından Bağlan seçin. Bağlanmak istediğiniz her VM için bu adımı yineleyin.
    Diğer tüm Windows makineleri için 1. Aracının yükleneceği yeri seçin altında Azure olmayan Windows Makinesine aracı yükle'yi genişletin

    2. Azure dışı Windows makineleri > için aracıyı indir ve yükle bağlantısını seçin.

    3. Aracılar yönetimi dikey penceresinde, Windows sunucuları sekmesinde, uygun şekilde 32 bit veya 64 bit sistemler için Windows Aracısını İndir bağlantısını seçin.

    4. İndirilen yürütülebilir dosyayı kullanarak aracıyı istediğiniz Windows sistemlerine yükleyin ve önceki adımda indirme bağlantılarının altında görünen Çalışma Alanı Kimliği ve Anahtarları kullanarak yapılandırın.

Gerekli internet bağlantısı olmayan Windows sistemlerinin olayları Microsoft Sentinel'e aktarmasına izin vermek için Aracı Yönetimi sayfasındaki Log Analytics Ağ Geçidini İndir bağlantısını kullanarak Log Analytics Ağ Geçidi'ni indirip ayrı bir makineye yükleyip ara sunucu olarak görev yapın. Log Analytics aracısını yine de olaylarını toplamak istediğiniz her Windows sistemine yüklemeniz gerekir.

Bu senaryo hakkında daha fazla bilgi için Log Analytics ağ geçidi belgelerine bakın.

Ek yükleme seçenekleri ve diğer ayrıntılar için Log Analytics aracısı belgelerine bakın.

Gönderilecek günlükleri belirleme

Windows DNS Sunucusu ve Windows Güvenlik Duvarı bağlayıcıları için Çözümü yükle düğmesini seçin. Eski Güvenlik Olayları bağlayıcısı için göndermek istediğiniz olay kümesini seçin ve ardından Güncelleştir'i seçin. Daha fazla bilgi için bkz . Microsoft Sentinel'e gönderilebilen Windows güvenlik olay kümeleri.

Veri bağlayıcıları başvuru sayfasında ilgili bölümlerindeki tablo adlarını kullanarak bu hizmetlere ilişkin verileri bulabilir ve sorgulayabilirsiniz.

Windows DNS Server veri bağlayıcınızın sorunlarını giderme

DNS etkinlikleriniz Microsoft Sentinel'de gösterilmiyorsa:

  1. Sunucularınızdaki DNS analiz günlüklerinin etkinleştirildiğinden emin olun.
  2. Azure DNS Analizi'ne gidin.
  3. Yapılandırma alanında, ayarlardan herhangi birini değiştirin ve değişikliklerinizi kaydedin. Gerekirse ayarlarınızı yeniden değiştirin ve değişikliklerinizi yeniden kaydedin.
  4. Olaylarınızın ve sorgularınızın düzgün görüntülendiğinden emin olmak için Azure DNS Analytics'inizi denetleyin.

Daha fazla bilgi için bkz . DNS Analytics Önizleme çözümüyle DNS altyapınız hakkında içgörü toplama.

Sonraki adımlar

Daha fazla bilgi için bkz.