使用以 Windows 代理程式為基礎的資料連線器,將 Microsoft Sentinel 連線至其他 Microsoft 服務
本文說明如何將Microsoft Sentinel 連線至其他以 Windows 代理程式為基礎的連線 Microsoft 服務。 Microsoft Sentinel 會使用 Azure 監視器代理程式來提供內建的服務對服務支援,以擷取來自許多 Azure 和 Microsoft 365 服務、Amazon Web Services 和各種 Windows Server 服務的數據擷取。
Azure 監視器代理程式會使用資料收集規則 (DCR) 來定義要從每個代理程式收集的數據。 資料收集規則提供兩項獨特優點:
大規模管理收集設定,同時讓機器子集繼續使用唯一的特定範圍設定。 這些規則獨立於工作區及虛擬機器之外,因此可以單次定義並且在不同機器和環境中重複使用。 請參閱 設定 Azure 監視器代理程式的數據收集。
組建自訂篩選條件,選擇想要內嵌的確切事件。 Azure 監視器代理程式會使用這些規則在來源篩選資料,並且只內嵌您想要的事件,其他事件則略過不用。 這可以為您省下大筆擷取費用!
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
重要
部分以 Azure 監視器代理程式 (AMA) 為基礎的連接器目前處於 [預覽]狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
必要條件
您必須具備 Microsoft Sentinel 工作區的讀取和寫入權限。
若要從任何非 Azure 虛擬機器的系統中收集事件,在您啟用 Azure 監視器代理程式型的連接器之前,系統必須先安裝並啟用 Azure Arc。
這包括:
- 安裝在實體機器上的 Windows 伺服器
- 安裝在內部部署虛擬機器上的 Windows 伺服器
- 安裝在非 Azure 雲端虛擬機器上的 Windows 伺服器
針對 Windows 轉送事件資料連接器:
- 您必須在 WEC 機器上安裝 Azure 監視器代理程式,啟用並執行 Windows 事件集合 (WEC)。
- 建議您安裝 進階安全性資訊模型 (ASIM) 剖析器,以確保數據正規化的完整支援。 您可以使用 [部署到 Azure] 按鈕,從
Azure-SentinelGitHub 存放庫部署這些剖析器。
從 Microsoft Sentinel 中的內容中樞安裝相關的 Microsoft Sentinel 解決方案。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容。
透過 GUI 建立資料收集規則
從 Microsoft Sentinel,選取 [組態>數據連接器]。 從清單中選取連接器,然後選取詳細資料窗格中的 [開啟連接器頁面]。 然後遵循 [指示] 索引標籤下的螢幕指示,如本節後續所述。
如連接器頁面的先決條件章節所述,驗證您具備適當的權限。
在 [設定] 底下選取 [+ 新增資料收集規則]。 [建立資料收集規則] 精靈會在右側開啟。
在 [基本] 底下輸入 [規則名稱],指定要在其中建立資料收集規則 (DCR) 的 [訂閱] 和 [資源群組]。 無需與受監視機器及其關聯項目所在的資源群組或訂用帳戶一致,只要位於相同租用戶即可。
在 [資源] 索引標籤中選取 [+ 新增資源],新增要套用資料收集規則的機器。 [選取範圍] 對話會開啟,即會看到可用的訂用帳戶清單。 展開訂閱檢視資源群組,然後展開資源群組檢視可用機器。 您會在清單中看到 Azure 虛擬機器和已啟用 Azure Arc 的伺服器。 您可以標記訂閱或資源群組的核取方塊,選取所有包含的機器,或者也可選取單一機器。 選擇所有機器後,選取 [套用]。 此流程結束時,系統會將 Azure 監視器代理程式安裝到尚未安裝的已選取機器上。
在 [收集] 索引標籤上,選擇您想要收集的事件:選取 [所有事件] 或 [自定義] 以指定其他記錄,或使用 XPath 查詢篩選事件。 在方塊中輸入運算式,評估需收集的事件特定 XML 準則,然後選取 [新增]。 您可以在一個方塊中輸入最多 20 種運算式,一個規則最多則可以有 100 個方塊。
如需詳細資訊,請參閱 Azure 監視器文件。
若要測試 XPath 查詢的有效性,請使用 PowerShell Cmdlet Get-WinEvent 搭配 -FilterXPath 參數。 例如:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- 如果傳回事件,則查詢有效。
- 如果您收到的訊息顯示「找不到符合指定選取範圍準則的事件」,則表示查詢有效,只是本機電腦上沒有符合的事件。
- 如果您收到訊息內容為「指定的查詢無效」,則查詢語法無效。
新增所有想要的篩選條件運算式後,請選取 [下一步:檢閱 + 建立]Next: Review + create。
當您看到 [驗證成功] 訊息時,請選取 [建立]。
您會在連接器頁面上的 [組態] 底下看到所有數據收集規則,包括透過 API 建立的規則。 可在該處編輯或刪除現有規則。
使用 API 建立資料收集規則
您也可以使用 API 來建立資料收集規則,這可讓您更輕鬆地建立許多規則,例如,如果您是 MSSP。 以下是 (針對透過 AMA連接器的 Windows 安全性事件) 範例,您可以用來作為建立規則的範本:
要求 URL 和標頭
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
要求本文
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
如需詳細資訊,請參閱
下一步
如需詳細資訊,請參閱