Microsoft Sentinel yhdistäminen muihin Microsoft-palveluihin Windows-agenttipohjaisella tietoliittimellä

Tässä artikkelissa kerrotaan, miten voit yhdistää Microsoft Sentinel muihin Microsoft-palveluiden Windows-agenttipohjaisiin yhteyksiin. Microsoft Sentinel käyttää Azure Monitor Agentia tarjotakseen sisäistä, palvelun sisäistä tukea tietojen käsittelylle monista Azure ja Microsoft 365 -palveluista, Amazon Web Servicesistä ja erilaisista Windows Server-palveluista.

Azure valvonta-agentti käyttää tietojen keräyssääntöjä (DCR) määrittääkseen tiedot, jotka kerätään kustakin agentista. Tietojen keräämisen säännöt tarjoavat kaksi erillistä etua:

Hallitse kokoelma-asetuksia suuressa mittakaavassa ja salli samalla koneiden alijoukkojen yksilölliset ja laajuiset määritykset. Ne ovat työtilasta riippumattomia ja virtuaalikoneesta riippumattomia, mikä tarkoittaa sitä, että ne voidaan määrittää kerran ja käyttää uudelleen koneissa ja ympäristöissä. Katso Azure Monitor Agentin tietojen keräämisen määrittäminen.
Luo mukautettuja suodattimia ja valitse juuri ne tapahtumat, jotka haluat käyttää. Azure Monitor Agent suodattaa näiden sääntöjen avulla lähteessä olevat tiedot ja käyttää vain haluamiesi tapahtumien tietoja jättäen kuitenkin kaiken muun taakseen. Tämä säästää paljon rahaa tietojen käsittelykustannuksissa!

Huomautus

Lisätietoja ominaisuuksien saatavuudesta Yhdysvaltain valtionhallinnon pilvipalveluissa on kohdassa Microsoft Sentinel taulukot Pilvipalvelun ominaisuuksien käytettävyydestä Yhdysvaltain valtionhallinnon asiakkaille.

Tärkeää

Jotkin Azure Monitor Agent (AMA) -agenttiin perustuvat liittimet ovat tällä hetkellä ESIKATSELUSSA. Microsoft Azure Preview -esiversioiden lisäkäyttöehdot-kohdassa on muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.

Ennakkovaatimukset

Sinulla on oltava Microsoft Sentinel työtilan luku- ja kirjoitusoikeudet.
Jos haluat kerätä tapahtumia järjestelmästä, joka ei ole Azure näennäiskone, järjestelmän on asennettava Azure Arc ja otettava se käyttöön, ennen kuin otat Azure Monitor Agent -pohjaisen liittimen käyttöön.

Tällaisia ovat esimerkiksi:
- Fyysisiin koneisiin asennetut Windows-palvelimet
- Paikallisiin näennäiskoneisiin asennetut Windows-palvelimet
- Näennäiskoneisiin asennetut Windows-palvelimet muissa kuin Azure pilvipalveluissa
Windowsin edelleenlähdistetyt tapahtumat -tietoyhdistin:
- Windowsin tapahtumakokoelma (WEC) on oltava käytössä ja käynnissä, ja wec-koneeseen on asennettu Azure Monitor Agent.
- Suosittelemme asentamaan ASIM (Advanced Security Information Model) -jäsentimet tietojen normalisoinnin täyden tuen varmistamiseksi. Voit ottaa nämä jäsentimet käyttöön GitHub-säilöstäAzure-Sentinel käyttämällä Ota käyttöön Azure -painiketta.
Asenna aiheeseen liittyvä Microsoft Sentinel -ratkaisu sisältökeskuksesta Microsoft Sentinel. Lisätietoja on ohjeaiheessa Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta.

Tietojen keräämisen sääntöjen luominen GUI:n kautta

Valitse Microsoft Sentinel KohdastaMääritystietoliittimet>. Valitse liittimesi luettelosta ja valitse sitten Tietoruudusta Avaa liitinsivu . Noudata sitten näytön ohjeita Ohjeet-välilehdellä tämän osion muissa osissa kuvatulla tavalla.
Varmista, että sinulla on tarvittavat oikeudet, jotka on kuvattu liitinsivun Edellytykset-osiossa .
Valitse Määritys-kohdassa+Lisää tiedonkeräyssääntö. Ohjattu tietojen keräämisen säännön luominen avautuu oikealle.
Kirjoita Perustiedot-kohtaanSäännön nimi ja määritä Tilaus - ja Resurssi-ryhmä , johon tiedonkeräyssääntö (DCR) luodaan. Tämän ei tarvitse olla sama resurssiryhmä tai tilaus, jossa valvotut koneet ja niiden kytkennät ovat, kunhan ne ovat samassa vuokraajassa.
Valitse Resurssit-välilehdessä+Lisää resursseja lisätäksesi koneita, joihin tietojen keräämissääntöä sovelletaan. Valitse vaikutusalue -valintaikkuna avautuu, ja näet luettelon käytettävissä olevista tilauksista. Laajenna tilaus, niin näet sen resurssiryhmät, ja laajenna resurssiryhmä, jotta käytettävissä olevat koneet näkyvät. Näet luettelossa Azure näennäiskoneita ja Azure Arcia käyttäviä palvelimia. Voit merkitä tilausten tai resurssiryhmien valintaruudut ja valita kaikki niiden sisältämät koneet, tai voit valita yksittäisiä koneita. Valitse Käytä , kun olet valinnut kaikki laitteesi. Tämän prosessin lopussa Azure Monitor Agent asennetaan kaikkiin valittuihin koneisiin, joihin ei ole vielä asennettu sitä.
Valitse Kerää-välilehdessä tapahtumat, jotka haluat kerätä: valitse Kaikki tapahtumat tai Mukautettu , jos haluat määrittää muita lokeja tai suodattaa tapahtumia XPath-kyselyiden avulla. Kirjoita ruutuun lausekkeet, jotka arvioivat kerättäville tapahtumille määritetyt XML-ehdot, ja valitse sitten Lisää. Voit kirjoittaa yhteen ruutuun enintään 20 lauseketta ja sääntöön enintään 100 ruutua.

Lisätietoja on Azure Monitor -dokumentaatiossa.
Huomautus
- Windowsin suojaus Events -liitin tarjoaa kaksi muuta valmiiksi luotua tapahtumajoukkoa, jotka voit kerätä: Yleiset ja Minimaalinen.
- Azure Monitor -agentti tukee vain XPath 1.0:n XPath-kyselyitä.
Jos haluat testata XPath-kyselyn pätevyyden, käytä PowerShellin cmdlet-komentoa Get-WinEvent ja -FilterXPath-parametria . Esimerkki:
```
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
```
- Jos tapahtumia palautetaan, kysely on kelvollinen.
- Jos näyttöön tulee sanoma "Määritettyjä valintaehtoja vastaavia tapahtumia ei löytynyt", kysely voi olla kelvollinen, mutta paikallisessa tietokoneessa ei ole vastaavia tapahtumia.
- Jos näyttöön tulee sanoma "Määritetty kysely on virheellinen", kyselyn syntaksi ei kelpaa.
Kun olet lisännyt kaikki haluamasi suodatinlausekkeet, valitse Seuraava: Tarkista + luo.
Kun näyttöön tulee vahvistusviesti , valitse Luo.

Näet kaikki tiedonkeruusääntösi, mukaan lukien ohjelmointirajapinnan kautta luodut, liitinsivun Määritys-kohdassa . Sieltä voit muokata tai poistaa olemassa olevia sääntöjä.

Luo tiedonkeruusääntöjä ohjelmointirajapinnan avulla

Voit myös luoda tietojen keräämisen sääntöjä ohjelmointirajapinnan avulla, mikä voi helpottaa elämää, jos luot monia sääntöjä, kuten jos olet MSSP. Tässä on esimerkki (tapahtumien Windowsin suojaus AMA-liittimen kautta), jota voit käyttää mallina säännön luomiseen:

Pyynnön URL-osoite ja ylätunniste

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Pyynnön leipäteksti

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Lisätietoja on seuraavissa artikkeleissa:

Seuraavat vaiheet

Lisätietoja on seuraavissa artikkeleissa:

Palaute

Onko tästä sivusta apua?

Last updated on 2026-04-23