你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何将Microsoft Sentinel连接到其他Microsoft服务基于 Windows 代理的连接。 Microsoft Sentinel使用 Azure Monitor 代理为来自许多Azure和 Microsoft 365 服务、Amazon Web Services 和各种Windows Server服务的数据引入提供内置的服务到服务支持。
Azure Monitor 代理使用数据收集规则 (DCR) 来定义要从每个代理收集的数据。 数据收集规则提供两个明显的优势:
大规模管理集合设置, 同时仍允许对计算机子集进行唯一的作用域配置。 它们独立于工作区和虚拟机,这意味着它们可以定义一次并在计算机和环境之间重复使用。 请参阅配置 Azure Monitor 代理的数据收集。
生成自定义筛选器 以选择要引入的确切事件。 Azure Monitor 代理使用这些规则来筛选源中的数据,并仅引入所需的事件,同时保留所有其他事件。 这可以节省大量的数据引入成本!
注意
有关美国政府云中功能可用性的信息,请参阅美国政府客户的云功能可用性中的Microsoft Sentinel表。
重要
某些基于 Azure Monitor 代理 (AMA) 的连接器目前以预览版提供。 请参阅Microsoft Azure预览版的补充使用条款,了解适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。
先决条件
必须对Microsoft Sentinel工作区具有读取和写入权限。
若要从任何不是Azure虚拟机的系统收集事件,系统必须先安装并启用 Azure Arc,然后才能启用基于 Azure Monitor 代理的连接器。
这包括:
- 物理计算机上安装的 Windows 服务器
- 安装在本地虚拟机上的 Windows 服务器
- 安装在非Azure云中的虚拟机上的 Windows 服务器
对于 Windows 转发事件数据连接器:
- 必须启用并运行 Windows 事件收集 (WEC) ,并在 WEC 计算机上安装 Azure Monitor 代理。
- 建议 (ASIM) 分析程序安装高级安全信息模型 ,以确保完全支持数据规范化。 可以使用 GitHub 存储库中的
Azure-Sentinel“部署到Azure”按钮从 GitHub 存储库部署这些分析程序。
从 Microsoft Sentinel 中的内容中心安装相关的Microsoft Sentinel解决方案。 有关详细信息,请参阅发现和管理Microsoft Sentinel现装内容。
通过 GUI 创建数据收集规则
从Microsoft Sentinel,选择“配置>数据连接器”。 从列表中选择连接器,然后在详细信息窗格中选择“ 打开连接器”页 。 然后按照“ 说明 ”选项卡下的屏幕说明进行操作,如本部分的其余部分所述。
验证你是否具有连接器页上的 “先决条件 ”部分中所述的适当权限。
在 “配置”下,选择“ +添加数据收集规则”。 右侧将打开 “创建数据收集规则 ”向导。
在 “基本信息”下,输入 规则名称 ,并指定将在其中创建数据收集规则 (DCR) 的 订阅 和 资源组 。 这 不 一定是受监视计算机及其关联所在的同一资源组或订阅,只要它们位于同一租户中。
在“ 资源 ”选项卡中,选择“ +添加资源” () 以添加将应用数据收集规则的计算机。 将打开 “选择范围 ”对话框,你将看到可用订阅的列表。 展开订阅以查看其资源组,展开资源组以查看可用的计算机。 列表中会显示Azure虚拟机和Azure已启用 Arc 的服务器。 可以标记订阅或资源组的检查框以选择它们包含的所有计算机,也可以选择单个计算机。 选择所有计算机后,选择 “应用 ”。 此过程结束时,Azure Monitor 代理将安装在尚未安装的任何选定计算机上。
在“ 收集 ”选项卡上,选择要收集的事件:选择“ 所有事件 ”或“ 自定义” 以指定其他日志或使用 XPath 查询筛选事件。 在框中输入表达式,该表达式的计算结果为要收集的特定 XML 条件,然后选择“ 添加”。 一个框中最多可以输入 20 个表达式,在规则中最多可以输入 100 个表达式。
有关详细信息,请参阅 Azure Monitor 文档。
注意
Windows 安全中心事件连接器提供了另外两个预生成事件集,你可以选择收集:Common 和 Minimal。
Azure Monitor 代理仅支持 XPath 版本 1.0 的 XPath 查询。
若要测试 XPath 查询的有效性,请使用 PowerShell cmdlet Get-WinEvent 和 -FilterXPath 参数。 例如:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- 如果返回事件,则查询有效。
- 如果收到消息“找不到与指定选择条件匹配的事件”,则查询可能有效,但本地计算机上没有匹配的事件。
- 如果收到消息“指定的查询无效”,则查询语法无效。
添加所需的所有筛选器表达式后,选择“ 下一步:查看 + 创建”。
看到 “验证已通过” 消息时,选择“ 创建”。
你将在连接器页的“配置”下看到所有数据收集规则,包括通过 API 创建的数据收集规则。 可以从该处编辑或删除现有规则。
使用 API 创建数据收集规则
还可以使用 API 创建数据收集规则,如果你要创建许多规则(例如,如果你是 MSSP),这会使工作更加轻松。 下面是通过 AMA 连接器) Windows 安全中心事件的示例 (,可用于创建规则的模板:
请求 URL 和标头
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
请求正文
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
有关更多信息,请参阅:
后续步骤
有关更多信息,请参阅: