Opret forbindelse Microsoft Sentinel til andre Microsoft-tjenester med en Windows Agent-baseret dataconnector

I denne artikel beskrives det, hvordan du opretter forbindelse Microsoft Sentinel til andre Windows-tjenesters Windows-agentbaserede forbindelser. Microsoft Sentinel bruger Azure Monitor Agent til at levere indbygget understøttelse af dataindtagelse fra mange Azure og Microsoft 365-tjenester, Amazon Web Services og forskellige Windows Server tjenester.

Overvågningsagenten Azure bruger dcr-regler for dataindsamling til at definere de data, der skal indsamles fra hver agent. Regler for dataindsamling giver dig to forskellige fordele:

• Administrer indstillinger for samlinger i stor skala , mens du stadig tillader entydige konfigurationer, der er beregnet til undersæt af maskiner. De er uafhængige af arbejdsområdet og uafhængige af den virtuelle maskine, hvilket betyder, at de kan defineres én gang og genbruges på tværs af maskiner og miljøer. Se Konfigurer dataindsamling for Azure Monitor Agent.

• Opret brugerdefinerede filtre for at vælge præcis de hændelser, du vil indtage. Den Azure Monitor Agent bruger disse regler til at filtrere dataene i kilden og kun indtage de ønskede hændelser, mens alt andet efterlades. Dette kan spare dig for mange penge i dataindtagelsesomkostninger!

Forudsætninger

• Du skal have læse- og skrivetilladelser til det Microsoft Sentinel arbejdsområde.

• Hvis du vil indsamle hændelser fra et system, der ikke er en Azure virtuel maskine, skal systemet have Azure Arc installeret og aktiveret, før du aktiverer den Azure Monitor Agent-baserede connector.

  Dette omfatter:

  • Windows-servere, der er installeret på fysiske maskiner
  • Windows-servere, der er installeret på virtuelle maskiner i det lokale miljø
  • Windows-servere, der er installeret på virtuelle maskiner i cloudmiljøer, der ikke er Azure

• For dataconnectoren Videresendte hændelser i Windows:

  • Windows Event Collection (WEC) skal være aktiveret og køre, hvor Azure Monitor Agent er installeret på WEC-computeren.
  • Vi anbefaler, at du installerer ASIM-fortolkere (Advanced Security Information Model) for at sikre fuld understøttelse af datanormalisering. Du kan udrulle disse fortolkninger fra Azure-Sentinel GitHub-lageret ved hjælp af knappen Udrul på Azure der.

• Installér den relaterede Microsoft Sentinel løsning fra Indholdshub i Microsoft Sentinel. Du kan finde flere oplysninger under Find og administrer Microsoft Sentinel indhold, der er klar til brug.

Opret regler for dataindsamling via den grafiske brugergrænseflade

1. VælgKonfigurationsdataconnectors> i Microsoft Sentinel. Vælg din connector på listen, og vælg derefter Åbn connectorside i detaljeruden. Følg derefter vejledningen på skærmen under fanen Instruktioner , som beskrevet i resten af dette afsnit.

2. Kontrollér, at du har de nødvendige tilladelser, som beskrevet i afsnittet Forudsætninger på connectorsiden.

3. Under Konfiguration skal du vælge +Tilføj regel for dataindsamling. Guiden Opret regel for dataindsamling åbnes til højre.

4. Angiv et regelnavn under Grundlæggende, og angiv en abonnements- og ressourcegruppe, hvor reglen for dataindsamling skal oprettes. Dette behøver ikke at være den samme ressourcegruppe eller det samme abonnement, som de overvågede maskiner og deres tilknytninger er i, så længe de er i den samme lejer.

5. Under fanen Ressourcer skal du vælge +Tilføj ressource(er) for at tilføje maskiner, som reglen for dataindsamling skal anvendes på. Dialogboksen Vælg et område åbnes, og du får vist en liste over tilgængelige abonnementer. Udvid et abonnement for at se dets ressourcegrupper, og udvid en ressourcegruppe for at se de tilgængelige maskiner. Du kan se Azure virtuelle maskiner og Azure Arc-aktiverede servere på listen. Du kan markere afkrydsningsfelterne for abonnementer eller ressourcegrupper for at vælge alle de maskiner, de indeholder, eller du kan vælge individuelle maskiner. Vælg Anvend , når du har valgt alle dine maskiner. I slutningen af denne proces installeres Azure Monitor Agent på alle valgte computere, hvor den ikke allerede er installeret.

6. Under fanen Collect (Indsaml) skal du vælge de hændelser, du vil indsamle: Vælg Alle hændelser eller Brugerdefineret for at angive andre logge eller for at filtrere hændelser ved hjælp af XPath-forespørgsler. Angiv udtryk i feltet, der evalueres til bestemte XML-kriterier for hændelser, der skal indsamles, og vælg derefter Tilføj. Du kan angive op til 20 udtryk i et enkelt felt og op til 100 felter i en regel.

   Du kan få flere oplysninger i dokumentationen til Azure Monitor.

   Bemærk!

   • Connectoren Windows Sikkerhed Events tilbyder to andre færdigbyggede hændelsessæt, du kan vælge at indsamle: Fælles og Minimal.

   • Den Azure Monitor Agent understøtter kun XPath-forespørgsler for XPath version 1.0.

   Hvis du vil teste gyldigheden af en XPath-forespørgsel, skal du bruge PowerShell-cmdlet'en Get-WinEvent med parameteren -FilterXPath . Det kan f.eks. være:

   $XPath = '*[System[EventID=1035]]'
   Get-WinEvent -LogName 'Application' -FilterXPath $XPath
   

   • Hvis der returneres hændelser, er forespørgslen gyldig.
   • Hvis du modtager meddelelsen "Der blev ikke fundet nogen hændelser, der opfylder de angivne udvælgelseskriterier", er forespørgslen muligvis gyldig, men der er ingen matchende hændelser på den lokale computer.
   • Hvis du modtager meddelelsen "Den angivne forespørgsel er ugyldig", er forespørgselssyntaksen ugyldig.

7. Når du har tilføjet alle de ønskede filterudtryk, skal du vælge Næste: Gennemse + opret.

8. Når du ser den sendte valideringsmeddelelse , skal du vælge Opret.

Du kan se alle dine regler for dataindsamling, herunder dem, der er oprettet via API'en, under Konfiguration på connectorsiden. Herfra kan du redigere eller slette eksisterende regler.

Opret regler for dataindsamling ved hjælp af API'en

Du kan også oprette regler for dataindsamling ved hjælp af API'en, hvilket kan gøre livet nemmere, hvis du opretter mange regler, f.eks. hvis du er MSSP. Her er et eksempel (til Windows Sikkerhed hændelser via AMA-connector), som du kan bruge som skabelon til oprettelse af en regel:

Anmod om URL-adresse og header

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Brødtekst i anmodning

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Du kan finde flere oplysninger under:

• Regler for dataindsamling i overvågning af Azure
• API-skema til regler for dataindsamling

Næste trin

Du kan finde flere oplysninger under:

• katalog over Microsoft Sentinel løsninger
• Integration af threat intelligence i Microsoft Sentinel