使用以 Windows 代理程式為基礎的資料連線器,將 Microsoft Sentinel 連線至其他 Microsoft 服務
本文說明如何使用 Windows 代理程式型連線,將Microsoft Sentinel 連線到其他 Microsoft 服務。 Microsoft Sentinel 使用 Azure 基礎來提供內建的服務對服務支援,以從許多 Azure 和 Microsoft 365 服務、Amazon Web Services 和各種 Windows Server 服務中擷取。 有一些不同的方法,這些連接是透過這些方法建立的。
本文提供 Windows 代理程式型資料連接器群組通用的資訊。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
Azure 監視器代理程式
部分以 Azure 監視器代理程式 (AMA) 為基礎的連接器目前處於 [預覽]狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Azure 監視器代理程式目前僅支援 Windows 安全性事件、Windows 轉送事件和 Windows DNS 事件。
Azure 監視器代理程式使用資料收集規則 (DCR) 定義要從每個代理程式收集的資料。 資料收集規則提供兩項獨特優點:
大規模管理收集設定,同時讓機器子集繼續使用唯一的特定範圍設定。 這些規則獨立於工作區及虛擬機器之外,因此可以單次定義並且在不同機器和環境中重複使用。 請參閱設定 Azure 監視器代理程式的資料收集。
組建自訂篩選條件,選擇想要內嵌的確切事件。 Azure 監視器代理程式會使用這些規則在來源篩選資料,並且只內嵌您想要的事件,其他事件則略過不用。 這可以為您省下大筆擷取費用!
請參閱以下建立資料收集規則的方式。
必要條件
您必須具備 Microsoft Sentinel 工作區的讀取和寫入權限。
若要從任何非 Azure 虛擬機器的系統中收集事件,在您啟用 Azure 監視器代理程式型的連接器之前,系統必須先安裝並啟用 Azure Arc。
這包括:
- 安裝在實體機器上的 Windows 伺服器
- 安裝在內部部署虛擬機器上的 Windows 伺服器
- 安裝在非 Azure 雲端虛擬機器上的 Windows 伺服器
資料連接器特定需求:
資料連接器 授權、成本和其他資訊 Windows 轉寄事件 - 您必須啟用並執行 Windows 事件集合 (WEC)。
在 WEC 機器上安裝 Azure 監視器代理程式。
- 建議您安裝 進階安全性資訊模型 (ASIM) 剖析器,以確保資料正規化的完整支援。 您可以使用 [部署到 Azure] 按鈕,從Azure-SentinelGitHub 存放庫部署這些剖析器。從 Microsoft Sentinel 中的內容中樞安裝相關的 Microsoft Sentinel 解決方案。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容。
指示
從 Microsoft Sentinel 導覽功能表中,選取 [資料連接器]。 從清單中選取連接器,然後選取詳細資料窗格中的 [開啟連接器頁面]。 然後遵循 [指示] 索引標籤下的螢幕指示,如本節後續所述。
如連接器頁面的先決條件章節所述,驗證您具備適當的權限。
在 [設定] 底下選取 [+ 新增資料收集規則]。 [建立資料收集規則] 精靈會在右側開啟。
在 [基本] 底下輸入 [規則名稱],指定要在其中建立資料收集規則 (DCR) 的 [訂閱] 和 [資源群組]。 無需與受監視機器及其關聯項目所在的資源群組或訂用帳戶一致,只要位於相同租用戶即可。
在 [資源] 索引標籤中選取 [+ 新增資源],新增要套用資料收集規則的機器。 [選取範圍] 對話會開啟,即會看到可用的訂用帳戶清單。 展開訂閱檢視資源群組,然後展開資源群組檢視可用機器。 您會在清單中看到 Azure 虛擬機器和已啟用 Azure Arc 的伺服器。 您可以標記訂閱或資源群組的核取方塊,選取所有包含的機器,或者也可選取單一機器。 選擇所有機器後,選取 [套用]。 此流程結束時,系統會將 Azure 監視器代理程式安裝到尚未安裝的已選取機器上。
在 [收集] 索引標籤選擇您想收集的事件:選取 [所有事件] 事件或 [自訂] 以指定其他記錄,或使用 XPath 查詢篩選事件 (請參閱以下備註)。 在方塊中輸入運算式,評估需收集的事件特定 XML 準則,然後選取 [新增]。 您可以在一個方塊中輸入最多 20 種運算式,一個規則最多則可以有 100 個方塊。
從 Azure 監視器文件深入了解資料收集規則。
注意
Windows 安全性事件連接器提供其他兩種您可以選擇並收集的預先組建事件集合:一般和最低限度。
Azure 監視器代理程式僅支援 XPath 版本 1.0 的 XPath 查詢。
新增所有想要的篩選條件運算式後,請選取 [下一步:檢閱 + 建立]Next: Review + create。
當您看到「通過驗證」訊息時,請選取 [建立]。
您會在連接器頁面的 [設定] 底下看到所有資料收集規則 (包括透過 API 建立的規則)。 可在該處編輯或刪除現有規則。
提示
使用 PowerShell cmdlet Get-WinEvent 和 -FilterXPath 參數測試 XPath 查詢的有效性。 下列指令碼即為範例:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- 如果傳回事件,則查詢有效。
- 如果您收到的訊息顯示「找不到符合指定選取範圍準則的事件」,則表示查詢有效,只是本機電腦上沒有符合的事件。
- 如果您收到訊息內容為「指定的查詢無效」,則查詢語法無效。
使用 API 建立資料收集規則
您也可以使用 API 建立資料收集規則 (請參閱結構描述),如果您正在建立許多規則 (例如:如果您是 MSSP),這可以讓存留時間變得更容易。 以下是 (針對透過 AMA連接器的 Windows 安全性事件) 範例,您可以用來作為建立規則的範本:
要求 URL 和標頭
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
要求本文
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
請參閱 Azure 監視器檔中資料收集規則的完整描述。
Log Analytics 代理程式 (舊版)
Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。 如果您在 Microsoft Sentinel 部署中使用記錄分析代理程式,我們建議您開始規劃移轉至 AMA。 如需詳細資訊,請參閱 適用於 Microsoft Sentinel 的 AMA 移轉。
必要條件
- 您必須具有 Log Analytics 工作區的讀取和寫入權限,以及包含您要從中收集記錄的機器任何工作區。
- 除了任何 Microsoft Sentinel 角色之外,您必須擁有這些工作區 SecurityInsights (Microsoft Sentinel) 解決方案上的記錄分析參與者角色。
指示
從 Microsoft Sentinel 導覽功能表中,選取 [資料連接器]。
選取您的服務 (DNS 或 Windows 防火牆),然後選取 [開啟連接器頁面]。
在產生記錄的裝置上安裝並上線代理程式。
電腦類型 指示 針對 Azure Windows VM 1.在 [選擇在 Azure Windows 虛擬機器上安裝代理程式的位置],展開 [在 Azure Windows 虛擬機器上安裝代理程式]。
2.選取 下載及安裝 Azure Windows 虛擬機器的代理程式 > 連結。
3.在 [虛擬機器] 刀鋒視窗中,選取代理程式安裝所在的虛擬機器,然後選取 [連線]。 針對您想要連接的每個 VM 重複此步驟。針對其他任何 Windows 機器 1.在 [選擇安裝代理程式的位置],展開 [在非 Azure Windows 機器上安裝代理程式]
2.選取 [下載及安裝非 Azure Windows 機器的代理程式]> 連結。
3.在 [代理程式管理] 刀鋒視窗的 [Windows 伺服器] 索引標籤上,視需要選取 32 位元或 64 位元系統的 [下載 Windows 代理程式] 連結。
4.使用下載的可執行檔,在您選擇的 Windows 系統上安裝代理程式,並使用 工作區識別碼和金鑰 進行設定,出現在上一個步驟的下載連結下方。
若要讓沒有必要網際網路連線的 Windows 系統仍然將事件串流至 Microsoft Sentinel,請使用 [代理程式管理] 頁面上的 [下載 Log Analytics 閘道] 連結,下載並安裝 [Log Analytics 閘道],作為 Proxy。 您仍需要在您想要收集其事件的每個 Windows 系統上安裝 Log Analytics 代理程式。
如需情節的詳細資訊,請參閱Log Analytics 閘道文件。
如需其他安裝選項和進一步的詳細資料,請參閱Log Analytics 代理程式文件。
決定要傳送的記錄
針對 Windows DNS 伺服器和 Windows 防火牆連接器,選取 [安裝解決方案] 按鈕。 針對舊版安全性事件連接器,請選擇您想要傳送的事件集合,然後選取 [更新]。 如需詳細資訊,請參閱可傳送至 Microsoft Sentinel 的 Windows 全性事件集合。
您可以使用資料連接器參考頁面中各自章節中的資料表名稱來尋找及查詢這些服務資料。
針對 Windows DNS Server 資料連接器進行疑難排解
如果您的 DNS 事件未顯示在 Microsoft Sentinel 中:
- 請確定伺服器上的 DNS 分析記錄已啟用。
- 移至 Azure DNS 分析。
- 在 [設定] 區域中,變更任何設定並儲存您的變更。 如果您需要,請重新變更您的設定,然後再次儲存您的變更。
- 請檢查您的 Azure DNS 分析,藉以確定您的事件和查詢正確顯示。
如需詳細資訊,請參閱收集搭配 DNS 分析預覽版解決方案使用 DNS 基礎結構的深入解析。
下一步
如需詳細資訊,請參閱