本文說明如何將 Microsoft Sentinel 與其他 Microsoft 服務 Windows 代理連線連接。 Microsoft Sentinel 使用 Azure Monitor Agent,提供內建的服務對服務支援,支援來自許多 Azure 與 Microsoft 365 服務、Amazon Web Services 及各種 Windows Server 服務的資料擷取。
Azure 監控代理使用資料收集規則 (DCR) 來定義從每個代理收集的資料。 資料收集規則為你帶來兩大明顯優勢:
在允許特定機器子集有獨特且有範圍的配置的同時,以大規模管理收藏設定。 它們獨立於工作空間和虛擬機器,意味著可以定義一次,並在各機器和環境中重複使用。 請參見 Azure Monitor Agent 的 Configure data collection。
建立自訂篩選 器,選擇你想接收的精確事件。 Azure Monitor 代理會使用這些規則,從來源過濾資料,只擷取你想要的事件,其他部分則不做。 這能幫你節省大量資料擷取成本!
注意事項
關於美國政府雲端功能可用性的資訊,請參閱 Microsoft Sentinel 在雲端中為美國政府客戶提供的功能可用性表格。
重要事項
部分基於 Azure Monitor Agent (AMA) 的連接器目前處於預覽階段。 請參閱 Microsoft Azure 預覽版補充使用條款,以了解適用於 beta、預覽或尚未正式釋出的 Azure 功能的其他法律條款。
必要條件
你必須在 Microsoft Sentinel Workspace 上擁有讀寫權限。
若要從非 Azure 虛擬機的系統收集事件,系統必須先安裝並啟用 Azure Arc,才能啟用基於 Azure Monitor 的代理型連接器。
這包括:
- 安裝於實體機器上的 Windows 伺服器
- 安裝於本地虛擬機上的 Windows 伺服器
- 安裝在非 Azure 雲端虛擬機上的 Windows 伺服器
對於 Windows 轉發事件資料連接器:
- 你必須啟用並執行 Windows 事件收藏 (WEC) ,並且在 WEC 機器上安裝了 Azure 監控代理程式。
- 我們建議安裝 先進安全資訊模型 (ASIM) 解析器,以確保資料正規化的完整支援。 你可以從 GitHub 倉庫裡的「部署到 Azure」按鈕部署這些解析器
Azure-Sentinel。
請在 Microsoft Sentinel 中安裝相關的 Microsoft Sentinel 解決方案。 欲了解更多資訊,請參閱「發現並管理 Microsoft Sentinel 開箱即用內容」。
透過圖形介面建立資料收集規則
從 Microsoft Sentinel 中,選擇 Configuration>Data 連接器。 從列表中選擇你的連接器,然後在詳細面板中選擇 「開啟連接器頁面 」。 接著按照螢幕上的指示,在「 說明 」標籤下操作,正如本節其餘部分所描述的。
請確認你擁有連接器頁面中「 Prerequisites 」部分所描述的適當權限。
在 設定中,選擇 +Add 資料收集規則。 「建立資料收集規則」向導會在右側開啟。
在基礎中輸入規則名稱,並指定訂閱與資源群組, (DCR) 的資料收集規則將在此建立。 只要它們在同一個租戶裡,這不一定是被監控機器及其關聯所屬的資源群組或訂閱。
在 資源 標籤中,選擇 +Add 資源 (s) 以新增可適用資料收集規則的機器。 「 選擇範圍 」對話框會打開,你會看到可用訂閱清單。 擴展訂閱以查看其資源群組,並擴展資源群組以查看可用機器。 你會在列表中看到 Azure 虛擬機和啟用 Azure Arc 的伺服器。 你可以勾選訂閱或資源群組的勾選框,選擇它們包含的所有機器,或是選擇單一機器。 當你選擇所有機器後,選擇 「套用 」。 在這個流程結束後,Azure Monitor 代理程式會安裝在尚未安裝的選定機器上。
在 「收集 」標籤中,選擇你想收集的事件:選擇 「所有事件 」或 「自訂 」以指定其他日誌或使用 XPath 查詢篩選事件。 在方框中輸入可依特定 XML 標準評估事件的表達式,然後選擇 新增。 你可以在一個方框中輸入最多 20 個表達式,規則中最多可輸入 100 個方格。
欲了解更多資訊,請參閱 Azure Monitor 文件。
注意事項
Windows 安全性事件連接器提供另外兩種預設事件集可供收集:Common 與 Minimal。
Azure Monitor 代理程式僅支援 XPath 1.0 版本的查詢。
要測試 XPath 查詢的有效性,請使用 PowerShell 指令檔 Get-WinEvent 搭配 -FilterXPath 參數。 例如:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- 若事件回傳,則查詢有效。
- 如果你收到訊息「未找到符合指定選擇條件的事件」,查詢可能是有效的,但本地機器上沒有匹配事件。
- 如果你收到「指定查詢無效」的訊息,則查詢語法無效。
當你新增所有想要的篩選表達式後,選擇 「下一頁:檢視+創建」。
當你看到驗證 通過 訊息時,選擇 建立。
你會在連接器頁面的設定中看到所有資料收集規則,包括透過 API 建立的規則。 接著你可以編輯或刪除現有規則。
使用 API 建立資料收集規則
你也可以利用 API 建立資料收集規則,如果你要建立很多規則,例如你是 MSSP,這會讓工作更方便。 這裡有一個範例 (,透過 AMA 連接器的 Windows 安全性 事件) ,你可以用作建立規則的範本:
請求網址與標頭
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
要求內文
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
如需詳細資訊,請參閱:
後續步驟
如需詳細資訊,請參閱: