Ansluta Microsoft Sentinel till andra Microsoft-tjänster med en Windows-agentbaserad dataanslutning

Den här artikeln beskriver hur du ansluter Microsoft Sentinel till andra Microsoft-tjänster Windows-agentbaserade anslutningar. Microsoft Sentinel använder Azure Monitor-agenten för att tillhandahålla inbyggt service-till-tjänst-stöd för datainmatning från många Azure- och Microsoft 365-tjänster, Amazon Web Services och olika Windows Server tjänster.

Azure Monitor-agenten använder datainsamlingsregler (DCR) för att definiera de data som ska samlas in från varje agent. Regler för datainsamling ger dig två olika fördelar:

Hantera samlingsinställningar i stor skala samtidigt som unika, begränsade konfigurationer tillåts för delmängder av datorer. De är oberoende av arbetsytan och oberoende av den virtuella datorn, vilket innebär att de kan definieras en gång och återanvändas mellan datorer och miljöer. Se Konfigurera datainsamling för Azure Monitor-agenten.
Skapa anpassade filter för att välja de exakta händelser som du vill mata in. Azure Monitor-agenten använder dessa regler för att filtrera data vid källan och mata endast in de händelser som du vill ha, samtidigt som allt annat lämnas kvar. Detta kan spara mycket pengar i kostnader för datainmatning!

Obs!

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Tillgänglighet för molnfunktioner för amerikanska myndighetskunder.

Viktigt

Vissa anslutningsappar som baseras på Azure Monitor Agent (AMA) är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förhandskrav

Du måste ha läs- och skrivbehörighet på Microsoft Sentinel arbetsyta.
Om du vill samla in händelser från ett system som inte är en Azure virtuell dator måste systemet ha Azure Arc installerat och aktiverat innan du aktiverar Azure Monitor Agent-baserad anslutningsapp.

Detta omfattar följande:
- Windows-servrar installerade på fysiska datorer
- Windows-servrar installerade på lokala virtuella datorer
- Windows-servrar installerade på virtuella datorer i moln som inte Azure
För dataanslutningsappen vidarebefordrade händelser i Windows:
- Du måste ha Windows Event Collection (WEC) aktiverat och igång med Azure Monitor Agent installerat på WEC-datorn.
- Vi rekommenderar att du installerar ASIM-parsers (Advanced Security Information Model) för att säkerställa fullt stöd för datanormalisering. Du kan distribuera dessa parsers från Azure-Sentinel GitHub-lagringsplatsen med hjälp av knappen Distribuera till Azure där.
Installera den relaterade Microsoft Sentinel lösningen från innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera Microsoft Sentinel inbyggt innehåll.

Skapa regler för datainsamling via användargränssnittet

Från Microsoft Sentinel väljer duAnslutningsappar för konfigurationsdata>. Välj din anslutningsapp i listan och välj sedan Sidan Öppna anslutningsapp i informationsfönstret. Följ sedan anvisningarna på skärmen under fliken Instruktioner enligt beskrivningen i resten av det här avsnittet.
Kontrollera att du har rätt behörigheter enligt beskrivningen i avsnittet Förutsättningar på anslutningssidan.
Under Konfiguration väljer du +Lägg till datainsamlingsregel. Guiden Skapa regel för datainsamling öppnas till höger.
Under Grundläggande anger du ett regelnamn och anger en prenumeration och resursgrupp där datainsamlingsregeln (DCR) ska skapas. Detta behöver inte vara samma resursgrupp eller prenumeration som de övervakade datorerna och deras associationer finns i, så länge de finns i samma klientorganisation.
På fliken Resurser väljer du +Lägg till resurser för att lägga till datorer som datainsamlingsregeln ska tillämpas på. Dialogrutan Välj ett omfång öppnas och du ser en lista över tillgängliga prenumerationer. Expandera en prenumeration för att se dess resursgrupper och expandera en resursgrupp för att se de tillgängliga datorerna. Du ser Azure virtuella datorer och Azure Arc-aktiverade servrar i listan. Du kan markera kryssrutorna för prenumerationer eller resursgrupper för att markera alla datorer som de innehåller, eller så kan du välja enskilda datorer. Välj Använd när du har valt alla dina datorer. I slutet av den här processen installeras Azure Monitor-agenten på alla valda datorer som inte redan har den installerad.
På fliken Samla in väljer du de händelser som du vill samla in: välj Alla händelser eller Anpassad för att ange andra loggar eller filtrera händelser med hjälp av XPath-frågor. Ange uttryck i rutan som utvärderas till specifika XML-villkor för händelser som ska samlas in och välj sedan Lägg till. Du kan ange upp till 20 uttryck i en enda ruta och upp till 100 rutor i en regel.

Mer information finns i dokumentationen om Azure Monitor.
Obs!
- Anslutningsappen Windows-säkerhet Events erbjuder två andra färdiga händelseuppsättningar som du kan välja att samla in: Common och Minimal.
- Azure Monitor-agenten stöder endast XPath-frågor för XPath version 1.0.
Om du vill testa giltigheten för en XPath-fråga använder du PowerShell-cmdleten Get-WinEvent med parametern -FilterXPath . Till exempel:
```
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
```
- Om händelser returneras är frågan giltig.
- Om du får meddelandet "Inga händelser hittades som matchar de angivna urvalskriterierna" kan frågan vara giltig, men det finns inga matchande händelser på den lokala datorn.
- Om du får meddelandet "Den angivna frågan är ogiltig" är frågesyntaxen ogiltig.
När du har lagt till alla filteruttryck som du vill använda väljer du Nästa: Granska + skapa.
När du ser meddelandet Validering har skickats väljer du Skapa.

Du ser alla regler för datainsamling, inklusive de som skapats via API:et, under Konfiguration på anslutningssidan. Därifrån kan du redigera eller ta bort befintliga regler.

Skapa regler för datainsamling med hjälp av API:et

Du kan också skapa regler för datainsamling med hjälp av API:et, vilket kan göra livet enklare om du skapar många regler, till exempel om du är en MSSP. Här är ett exempel (för Windows-säkerhet-händelser via AMA-anslutningsprogram) som du kan använda som mall för att skapa en regel:

Begärande-URL och sidhuvud

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Frågebrödtext

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Mer information finns i:

Nästa steg

Mer information finns i:

Feedback

Var den här sidan till hjälp?

Last updated on 2026-04-23