Conexión de Microsoft Sentinel a otros servicios de Microsoft con un conector de datos basado en agentes de Windows

En este artículo se describe cómo conectar Microsoft Sentinel a otras conexiones basadas en agentes de Windows de servicios de Microsoft. Microsoft Sentinel usa Azure Monitor Agent para proporcionar compatibilidad integrada de servicio a servicio para la ingesta de datos de muchos servicios de Azure y Microsoft 365, Amazon Web Services y varios servicios de Windows Server.

El agente de Azure Monitor usa reglas de recopilación de datos (DCR) para definir los datos que se recopilan de cada agente. Las reglas de recopilación de datos ofrecen dos ventajas distintas:

  • Administre la configuración de recopilación a escala y, a la vez, permita configuraciones únicas y con ámbito para subconjuntos de máquinas. Son independientes del área de trabajo e independientes de la máquina virtual, lo que significa que se pueden definir una vez y reutilizar entre máquinas y entornos. Consulte Configuración de la recopilación de datos para el agente de Azure Monitor.

  • Cree filtros personalizados para elegir los eventos exactos que desea ingerir. El agente de Azure Monitor usa estas reglas para filtrar los datos en el origen e ingerir solo los eventos que desee, dejando todo lo demás atrás. Esto puede ahorrar mucho dinero en los costos de ingesta de datos.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes del Gobierno de EE. UU., consulte las tablas de Microsoft Sentinel en disponibilidad de características en la nube para los clientes de US Government.

Importante

Algunos conectores basados en Azure Monitor Agent (AMA) están actualmente en VERSIÓN PRELIMINAR. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para ver términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Requisitos previos

  • Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.

  • Para recopilar eventos de cualquier sistema que no sea una máquina virtual Azure, el sistema debe tener Azure Arc instalado y habilitado antes de habilitar el conector basado en agente de Azure Monitor.

    Esto incluye lo siguiente:

    • Servidores Windows instalados en máquinas físicas
    • Servidores Windows instalados en máquinas virtuales locales
    • Servidores Windows instalados en máquinas virtuales en nubes que no son Azure

  • Para el conector de datos de eventos reenviados de Windows:

  • Instale la solución de Microsoft Sentinel relacionada desde el Centro de contenido en Microsoft Sentinel. Para obtener más información, consulte Detección y administración de Microsoft Sentinel contenido integrado.

Creación de reglas de recopilación de datos mediante la GUI

  1. En Microsoft Sentinel, seleccioneConectores de datosde configuración>. Seleccione el conector en la lista y, a continuación, seleccione Abrir página del conector en el panel de detalles. A continuación, siga las instrucciones en pantalla en la pestaña Instrucciones , como se describe en el resto de esta sección.

  2. Compruebe que tiene los permisos adecuados, tal como se describe en la sección Requisitos previos de la página del conector.

  3. En Configuración, seleccione +Agregar regla de recopilación de datos. El Asistente para crear reglas de recopilación de datos se abrirá a la derecha.

  4. En Aspectos básicos, escriba un nombre de regla y especifique una suscripción y un grupo de recursos donde se creará la regla de recopilación de datos (DCR). Esto no tiene que ser el mismo grupo de recursos o suscripción en el que se encuentran las máquinas supervisadas y sus asociaciones, siempre y cuando estén en el mismo inquilino.

  5. En la pestaña Recursos , seleccione +Agregar recursos para agregar máquinas a las que se aplicará la regla de recopilación de datos. Se abrirá el cuadro de diálogo Seleccionar un ámbito y verá una lista de suscripciones disponibles. Expanda una suscripción para ver sus grupos de recursos y expanda un grupo de recursos para ver las máquinas disponibles. Verá Azure máquinas virtuales y Azure servidores habilitados para Arc en la lista. Puede marcar las casillas de las suscripciones o grupos de recursos para seleccionar todas las máquinas que contienen o puede seleccionar máquinas individuales. Seleccione Aplicar cuando haya elegido todas las máquinas. Al final de este proceso, el agente de Azure Monitor se instalará en los equipos seleccionados que no lo tengan instalado.

  6. En la pestaña Recopilar , elija los eventos que desea recopilar: seleccione Todos los eventos o Personalizado para especificar otros registros o para filtrar eventos mediante consultas XPath. Escriba expresiones en el cuadro que se evalúan como criterios XML específicos para los eventos que se van a recopilar y, a continuación, seleccione Agregar. Puede escribir hasta 20 expresiones en un solo cuadro y hasta 100 cuadros en una regla.

    Para obtener más información, consulte la documentación de Azure Monitor.

    Nota:

    Para probar la validez de una consulta XPath, use el cmdlet Get-WinEvent de PowerShell con el parámetro -FilterXPath . Por ejemplo:

    $XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
    • Si se devuelven eventos, la consulta es válida.
    • Si recibe el mensaje "No se encontraron eventos que coincidan con los criterios de selección especificados", la consulta puede ser válida, pero no hay eventos coincidentes en el equipo local.
    • Si recibe el mensaje "La consulta especificada no es válida", la sintaxis de la consulta no es válida.

  7. Cuando haya agregado todas las expresiones de filtro que desee, seleccione Siguiente: Revisar y crear.

  8. Cuando vea el mensaje Validación pasada , seleccione Crear.

Verá todas las reglas de recopilación de datos, incluidas las creadas a través de la API, en Configuración en la página del conector. Desde allí puede editar o eliminar reglas existentes.

Creación de reglas de recopilación de datos mediante la API

También puede crear reglas de recopilación de datos mediante la API, lo que puede facilitar la vida si va a crear muchas reglas, como si fuera un MSSP. Este es un ejemplo (para los eventos de Seguridad de Windows a través del conector AMA) que puede usar como plantilla para crear una regla:

Dirección URL y encabezado de solicitud

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Cuerpo de solicitud

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Para más información, vea:

Siguientes pasos

Para más información, vea:

  • Last updated on