使用以 Windows 代理程式為基礎的資料連線器,將 Microsoft Sentinel 連線至其他 Microsoft 服務
本文說明如何使用 Windows 代理程式型連線,將 Microsoft Sentinel 連線到其他 Microsoft 服務。 Microsoft Sentinel 使用 Azure 基礎來提供內建的服務對服務支援,以便從許多 Azure 和 Microsoft 365 服務、Amazon Web Services 和各種 Windows Server 服務擷取數據。 有一些不同的方法,這些連接是透過這些方法建立的。
本文提供 Windows 代理程式型資料連接器群組通用的資訊。
注意
如需美國政府雲端中功能可用性的相關信息,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 數據表。
Azure 監視器代理程式
某些以 Azure 監視器代理程式 (AMA) 為基礎的連接器目前處於預覽狀態。 如需適用於 Beta 版、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽版補充使用條款。
Azure 監視器代理程式目前僅支援 Windows 安全性 事件、Windows 轉送事件和 Windows DNS 事件。
Azure 監視器代理程式會使用資料收集規則 (DCR) 來定義要從每個代理程式收集的數據。 資料收集規則提供兩項獨特優點:
大規模管理收集設定,同時讓機器子集繼續使用唯一的特定範圍設定。 它們與工作區無關,且與虛擬機無關,這表示可以在機器和環境之間定義一次,並重複使用它們。 請參閱 設定 Azure 監視器代理程式的數據收集。
組建自訂篩選條件,選擇想要內嵌的確切事件。 Azure 監視器代理程式會使用這些規則來篩選來源的數據,並只擷取您想要的事件,同時保留其他所有專案。 這可以節省您大量的數據擷取成本!
請參閱下列如何建立數據收集規則。
必要條件
您必須具備 Microsoft Sentinel 工作區的讀取和寫入權限。
若要從非 Azure 虛擬機的任何系統收集事件,系統必須先安裝並啟用 Azure Arc,才能啟用 Azure 監視器代理程式型連接器。
這包括:
- 安裝在實體機器上的 Windows 伺服器
- 安裝在內部部署虛擬機器上的 Windows 伺服器
- 安裝在非 Azure 雲端虛擬機器上的 Windows 伺服器
資料連接器特定需求:
數據連接器 授權、成本和其他資訊 Windows 轉送事件 - 您必須啟用並執行 Windows 事件集合(WEC)。
在 WEC 電腦上安裝 Azure 監視器代理程式。
- 建議您安裝 進階安全性資訊模型 (ASIM) 剖析器,以確保數據正規化的完整支援。 您可以使用 [部署到 Azure] 按鈕,從Azure-SentinelGitHub 存放庫部署這些剖析器。從 Microsoft Sentinel 中的內容中樞安裝相關的 Microsoft Sentinel 解決方案。 如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容。
指示
從 Microsoft Sentinel 導覽功能表中,選取 [數據連接器]。 從清單中選取您的連接器,然後選取詳細資料窗格中的 [ 開啟連接器] 頁面 。 然後遵循 [指示] 索引卷標底下的畫面指示,如本節的其餘部分所述。
請確認您有適當的許可權,如連接器頁面上的 [必要條件] 區段所述。
在 [設定] 底下,選取 [+新增數據收集規則]。 [ 建立數據收集規則 精靈] 會在右側開啟。
在 [基本概念] 底下,輸入規則名稱,並指定要在其中建立數據收集規則 (DCR) 的訂用帳戶和資源群組。 這 不 一定是受監視機器所在的資源群組或訂用帳戶,而且其關聯位於相同的租使用者中。
在 [ 資源] 索引標籤中,選取 [+新增資源], 以新增要套用數據收集規則的計算機。 [ 選取範圍 ] 對話框隨即開啟,您會看到可用的訂用帳戶清單。 展開訂閱檢視資源群組,然後展開資源群組檢視可用機器。 您會在清單中看到 Azure 虛擬機和已啟用 Azure Arc 的伺服器。 您可以標記訂閱或資源群組的核取方塊,選取所有包含的機器,或者也可選取單一機器。 當您選擇所有機器時,請選取 [套用 ]。 此流程結束時,系統會將 Azure 監視器代理程式安裝到尚未安裝的已選取機器上。
在 [收集] 索引標籤上,選擇您想要收集的事件:選取 [所有事件] 或 [自定義] 以指定其他記錄,或使用 XPath 查詢篩選事件(請參閱下面的附註)。 在評估為要收集之事件的特定 XML 準則的方塊中輸入表示式,然後選取 [ 新增]。 您可以在一個方塊中輸入最多 20 種運算式,一個規則最多則可以有 100 個方塊。
從 Azure 監視器檔深入了解 資料收集規則 。
當您新增您想要的所有篩選表達式時,請選取 [下一步:檢閱 + 建立]。
當您看到 [驗證通過] 訊息時,請選取 [ 建立]。
您會在連接器頁面上的 [組態] 底下看到所有資料收集規則(包括透過 API 建立的規則)。 可在該處編輯或刪除現有規則。
提示
使用 PowerShell Cmdlet Get-WinEvent 搭配 -FilterXPath 參數來測試 XPath 查詢的有效性。 下列指令碼即為範例:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- 如果傳回事件,則查詢有效。
- 如果您收到的訊息顯示「找不到符合指定選取範圍準則的事件」,則表示查詢有效,只是本機電腦上沒有符合的事件。
- 如果您收到訊息內容為「指定的查詢無效」,則查詢語法無效。
使用 API 建立數據收集規則
您也可以使用 API 建立資料收集規則(請參閱架構),這可讓您更輕鬆地建立許多規則(例如,如果您是 MSSP)。 以下是一個範例(針對透過 AMA 連接器 Windows 安全性 事件),您可以用來作為建立規則的範本:
要求 URL 和標頭
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
要求本文
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
請參閱 Azure 監視器檔中數據收集規則的完整描述。
Log Analytics 代理程式 (舊版)
Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。 如果您在 Microsoft Sentinel 部署中使用 Log Analytics 代理程式,建議您開始規劃移轉至 AMA。 如需詳細資訊,請參閱 Microsoft Sentinel 的 AMA 移轉。
必要條件
- 您必須具有 Log Analytics 工作區的讀取和寫入許可權,以及包含您要從中收集記錄之電腦的任何工作區。
- 除了任何 Microsoft Sentinel 角色之外,您必須在這些工作區的 SecurityInsights (Microsoft Sentinel) 解決方案上擁有 Log Analytics 參與者 角色。
指示
從 Microsoft Sentinel 導覽功能表中,選取 [數據連接器]。
選取您的服務 (DNS 或 Windows 防火牆),然後選取 [ 開啟連接器] 頁面。
在產生記錄的裝置上安裝並上線代理程式。
機器類型 指示 針對 Azure Windows VM 1.在 [選擇安裝代理程式的位置] 底下,展開 [在 Azure Windows 虛擬機上安裝代理程式]。
2.選取 [ 下載及安裝 Azure Windows 虛擬機 > 的代理程式] 連結。
3.在 [虛擬機] 刀鋒視窗中,選取要安裝代理程式的虛擬機,然後選取 [連線]。 針對您想要連線的每個 VM 重複此步驟。針對任何其他 Windows 電腦 1.在 [選擇安裝代理程式的位置] 底下,展開 [在非 Azure Windows 機器上安裝代理程式]
2.選取 [非 Azure Windows 機器 > 的下載及安裝代理程式] 連結。
3.在 [代理程式管理] 刀鋒視窗的 [Windows 伺服器] 索引標籤上,選取 32 位或 64 位系統的 [下載 Windows 代理程式] 連結。
4.使用下載的可執行檔,在您選擇的 Windows 系統上安裝代理程式,並使用 上一個步驟中下載連結下方顯示的工作區標識碼和密鑰 進行設定。
若要允許沒有必要因特網連線的 Windows 系統仍將事件串流至 Microsoft Sentinel,請使用 [代理程式管理] 頁面上的 [下載 Log Analytics 網關] 連結,將 Log Analytics 網關下載並安裝為 Proxy。 您仍然需要在您想要收集其事件的每個 Windows 系統上安裝 Log Analytics 代理程式。
如需此案例的詳細資訊,請參閱 Log Analytics閘道 檔。
如需其他安裝選項和進一步的詳細數據,請參閱 Log Analytics代理程序 檔。
決定要傳送的記錄
針對 Windows DNS 伺服器和 Windows 防火牆連接器,選取 [ 安裝解決方案 ] 按鈕。 針對舊版安全性事件連接器,選擇 您想要傳送的事件集 ,然後選取 [ 更新]。 如需詳細資訊,請參閱 可傳送至 Microsoft Sentinel 的 Windows 安全性事件集。
您可以在 [資料連接器參考] 頁面的個別區段中,使用數據表名稱來尋找和查詢這些服務的數據。
針對 Windows DNS Server 數據連接器進行疑難解答
如果您的 DNS 事件未顯示在 Microsoft Sentinel 中:
- 請確定伺服器上 已啟用 DNS 分析記錄。
- 移至 Azure DNS 分析。
- 在 [ 組態 ] 區域中,變更任何設定並儲存您的變更。 如果您需要,請重新變更您的設定,然後再次儲存變更。
- 請檢查您的 Azure DNS 分析,以確定您的事件和查詢正確顯示。
如需詳細資訊,請參閱 使用 DNS 分析預覽解決方案收集 DNS 基礎結構的相關深入解析。
下一步
如需詳細資訊,請參閱