Koble Microsoft Sentinel til andre Microsoft-tjenester med en Windows-agentbasert datakobling

Denne artikkelen beskriver hvordan du kobler Microsoft Sentinel til andre Agentbaserte tilkoblinger for Microsoft Services Windows. Microsoft Sentinel bruker Azure Monitor Agent til å tilby innebygd tjeneste-til-tjeneste-støtte for datainntak fra mange Azure- og Microsoft 365-tjenester, Amazon Web Services og ulike Windows Server-tjenester.

Azure Monitor Agent bruker datainnsamlingsregler (DCR-er) til å definere dataene som skal samles inn fra hver agent. Datainnsamlingsregler gir deg to forskjellige fordeler:

Administrer samlingsinnstillinger i stor skala , samtidig som du tillater unike, omfangskonfigurasjoner for delsett av maskiner. De er uavhengige av arbeidsområdet og uavhengig av den virtuelle maskinen, noe som betyr at de kan defineres én gang og brukes på nytt på tvers av maskiner og miljøer. Se Konfigurere datainnsamling for Azure Monitor Agent.
Bygg egendefinerte filtre for å velge nøyaktig hvilke hendelser du vil ta inn. Azure Monitor Agent bruker disse reglene til å filtrere dataene i kilden og bare innta hendelsene du vil bruke, samtidig som alt annet blir igjen. Dette kan spare deg for mye penger på datainntakskostnader!

Obs!

Hvis du vil ha informasjon om funksjonstilgjengelighet i US Government-skyer, kan du se Microsoft Sentinel tabeller i skyfunksjonstilgjengelighet for US Government-kunder.

Viktig

Noen koblinger basert på Azure Monitor Agent (AMA) er for øyeblikket i PREVIEW. Se tilleggsvilkårene for bruk for Microsoft Azure previews for flere juridiske termer som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke utgitt i generell tilgjengelighet.

Forutsetninger

Du må ha lese- og skrivetillatelser på det Microsoft Sentinel arbeidsområdet.
Hvis du vil samle inn hendelser fra et system som ikke er en Azure virtuell maskin, må systemet ha Azure Arc installert og aktivert før du aktiverer den Azure Monitor Agent-baserte koblingen.

Dette inkluderer:
- Windows-servere installert på fysiske maskiner
- Windows-servere installert på lokale virtuelle maskiner
- Windows-servere installert på virtuelle maskiner i skyer som ikke er Azure
For windows videresendte hendelser-datakoblingen:
- Du må ha Windows Event Collection (WEC) aktivert og kjører, med Azure Monitor Agent installert på WEC-maskinen.
- Vi anbefaler at du installerer ASIM-analyser (Advanced Security Information Model) for å sikre full støtte for datanormalisering. Du kan distribuere disse parserne fra Azure-Sentinel GitHub-repositoriet ved hjelp av Distribuer til Azure-knappen der.
Installer den relaterte Microsoft Sentinel løsningen fra innholdshuben i Microsoft Sentinel. Hvis du vil ha mer informasjon, kan du se Oppdage og administrere Microsoft Sentinel forhåndsdefinert innhold.

Opprette regler for datainnsamling via GUI

VelgKonfigurasjonsdatakoblinger> fra Microsoft Sentinel. Velg koblingen fra listen, og velg deretter Åpne kobling-siden i detaljruten. Følg deretter instruksjonene på skjermen under Instruksjoner-fanen , som beskrevet gjennom resten av denne delen.
Kontroller at du har de nødvendige tillatelsene som beskrevet under Forutsetninger-delen på koblingssiden .
Velg +Legg til regel for datainnsamling under Konfigurasjon. Veiviseren for oppretting av datainnsamlingsregel åpnes til høyre.
Skriv inn et regelnavn under Grunnleggende, og angi et abonnement og en ressursgruppe der datainnsamlingsregelen (DCR) skal opprettes. Dette trenger ikke å være den samme ressursgruppen eller abonnementet de overvåkede maskinene og deres tilknytninger er i, så lenge de er i samme leier.
Velg +Legg til ressurs(er) på Ressurser-fanen for å legge til maskiner som datainnsamlingsregelen gjelder for. Dialogboksen Velg et omfang åpnes, og du vil se en liste over tilgjengelige abonnementer. Utvid et abonnement for å se ressursgruppene, og utvid en ressursgruppe for å se de tilgjengelige maskinene. Du vil se Azure virtuelle maskiner og Azure Arc-aktiverte servere i listen. Du kan merke av i avmerkingsboksene for abonnementer eller ressursgrupper for å velge alle maskinene de inneholder, eller du kan velge enkeltmaskiner. Velg Bruk når du har valgt alle maskinene dine. På slutten av denne prosessen installeres Azure Monitor Agent på alle valgte maskiner som ikke allerede har den installert.
Velg hendelsene du vil samle inn, på Samle inn-fanen : Velg Alle hendelser eller Egendefinert for å angi andre logger eller filtrere hendelser ved hjelp av XPath-spørringer. Skriv inn uttrykk i boksen som evalueres til bestemte XML-vilkår for hendelser som skal samles inn, og velg deretter Legg til. Du kan skrive inn opptil 20 uttrykk i én enkelt boks og opptil 100 bokser i en regel.

Hvis du vil ha mer informasjon, kan du se dokumentasjonen for Azure Overvåke.
Obs!
- Koblingen Windows Sikkerhet Events tilbyr to andre forhåndsbygde hendelsessett du kan velge å samle inn: Vanlig og Minimal.
- Azure Monitor Agent støtter bare XPath-spørringer for XPath versjon 1.0.
Hvis du vil teste gyldigheten til en XPath-spørring, bruker du PowerShell-cmdleten Get-WinEvent med parameteren -FilterXPath . Eksempel:
```
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
```
- Hvis hendelser returneres, er spørringen gyldig.
- Hvis du mottar meldingen «Ingen hendelser ble funnet som samsvarer med de angitte utvalgsvilkårene», kan spørringen være gyldig, men det finnes ingen samsvarende hendelser på den lokale maskinen.
- Hvis du får meldingen «Den angitte spørringen er ugyldig», er spørringssyntaksen ugyldig.
Når du har lagt til alle filteruttrykkene du vil bruke, velger du Neste: Se gjennom + opprett.
Når du ser den sendte valideringsmeldingen , velger du Opprett.

Du ser alle reglene for datainnsamling, inkludert de som er opprettet gjennom API-en, under Konfigurasjon på koblingssiden . Derfra kan du redigere eller slette eksisterende regler.

Opprett regler for datainnsamling ved hjelp av API-en

Du kan også opprette datainnsamlingsregler ved hjelp av API-en, noe som kan gjøre livet enklere hvis du oppretter mange regler, for eksempel hvis du er en MSSP. Her er et eksempel (for Windows Sikkerhet Hendelser via AMA-kobling) som du kan bruke som en mal for å opprette en regel:

Be om URL-adresse og topptekst

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Forespørselstekst

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Hvis du vil ha mer informasjon, kan du se:

Neste trinn

Hvis du vil ha mer informasjon, kan du se:

Tilbakemeldinger

Var denne siden nyttig?

Last updated on 2026-04-23