Připojení služby Microsoft Sentinel k jiným službám Microsoftu s využitím datového konektoru založeného na agentech systému Windows

Tento článek popisuje, jak připojit Microsoft Sentinel k dalším služby Microsoft připojení založeným na agentech windows. Microsoft Sentinel používá agenta Azure Monitor k poskytování integrované podpory služeb pro příjem dat z mnoha služeb Azure a Microsoft 365, Amazon Web Services a různých služeb Windows Serveru.

Agent Služby Azure Monitor používá pravidla shromažďování dat (DCR) k definování dat, která se mají shromažďovat z každého agenta. Pravidla shromažďování dat nabízejí dvě různé výhody:

• Spravujte nastavení kolekce ve velkém měřítku a současně povolte jedinečné konfigurace s vymezeným oborem pro podmnožiny počítačů. Jsou nezávislé na pracovním prostoru a nezávisle na virtuálním počítači, což znamená, že je možné je definovat jednou a znovu použít napříč počítači a prostředími. Viz Konfigurace shromažďování dat pro agenta Služby Azure Monitor.

• Vytvořte vlastní filtry a vyberte přesné události, které chcete ingestovat. Agent Azure Monitoru tato pravidla používá k filtrování dat ve zdroji a ingestování jenom požadovaných událostí a přitom ponechá všechno ostatní. To vám může ušetřit spoustu peněz v nákladech na příjem dat.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Důležité

Některé konektory založené na agentovi služby Azure Monitor (AMA) jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Požadavky

• V pracovním prostoru Microsoft Sentinelu musíte mít oprávnění ke čtení a zápisu.

• Aby bylo možné shromažďovat události z jakéhokoli systému, který není virtuálním počítačem Azure, musí mít systém nainstalovaný a povolený Azure Arc, než povolíte konektor založený na agentech služby Azure Monitor.

  Sem patří:

  • Servery s Windows nainstalované na fyzických počítačích
  • Servery s Windows nainstalované na místních virtuálních počítačích
  • Servery s Windows nainstalované na virtuálních počítačích v cloudech mimo Azure

• Pro datový konektor Windows Forwarded Events:

  • Musíte mít povolenou a spuštěnou kolekci událostí systému Windows (WEC) s nainstalovaným agentem služby Azure Monitor na počítači WEC.
  • Doporučujeme nainstalovat analyzátory ASM (Advanced Security Information Model), abyste zajistili plnou podporu normalizace dat. Tyto analyzátory můžete nasadit z úložiště GitHub pomocí tlačítka Nasadit do Azure.Azure-Sentinel

• Nainstalujte související řešení Microsoft Sentinel z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Vytvoření pravidel shromažďování dat prostřednictvím grafického uživatelského rozhraní

1. V Microsoft Sentinelu vyberte konektory konfiguračních> dat. V seznamu vyberte konektor a pak v podokně podrobností vyberte Otevřít stránku konektoru. Potom postupujte podle pokynů na obrazovce na kartě Pokyny , jak je popsáno ve zbytku této části.

2. Ověřte, že máte odpovídající oprávnění, jak je popsáno v části Požadavky na stránce konektoru.

3. V části Konfigurace vyberte +Přidat pravidlo shromažďování dat. Vpravo se otevře průvodce vytvořením pravidla shromažďování dat.

4. V části Základy zadejte název pravidla a zadejte předplatné a skupinu prostředků, kde se vytvoří pravidlo shromažďování dat (DCR). Nemusí to být stejná skupina prostředků ani předplatné monitorovaných počítačů a jejich přidružení, pokud jsou ve stejném tenantovi.

5. Na kartě Zdroje vyberte +Přidat prostředky a přidejte počítače, na které se použije pravidlo shromažďování dat. Otevře se dialogové okno Vybrat obor a zobrazí se seznam dostupných předplatných. Rozbalením předplatného zobrazte skupiny prostředků a rozbalte skupinu prostředků, abyste viděli dostupné počítače. V seznamu se zobrazí virtuální počítače Azure a servery s podporou služby Azure Arc. Zaškrtnutím políček předplatných nebo skupin prostředků můžete vybrat všechny počítače, které obsahují, nebo můžete vybrat jednotlivé počítače. Vyberte Použít , pokud jste zvolili všechny počítače. Na konci tohoto procesu se agent Azure Monitor nainstaluje na všechny vybrané počítače, které ho ještě nemají nainstalované.

6. Na kartě Shromáždit zvolte události, které chcete shromáždit: vyberte Všechny události nebo Vlastní, pokud chcete zadat jiné protokoly nebo filtrovat události pomocí dotazů XPath. Do pole, které se vyhodnotí jako specifická kritéria XML pro shromažďování událostí, zadejte výrazy a pak vyberte Přidat. Do jednoho pole můžete zadat až 20 výrazů a v pravidlu až 100 polí.

   Další informace najdete v dokumentaci ke službě Azure Monitor.

   Poznámka:

   • Konektor Zabezpečení Windows Events nabízí dvě předdefinované sady událostí, které můžete shromažďovat: Společné a minimální.

   • Agent Azure Monitor podporuje pouze dotazy XPath pro XPath verze 1.0.

   K otestování platnosti dotazu XPath použijte rutinu PowerShellu Get-WinEvent s parametrem -FilterXPath . Příklad:

   $XPath = '*[System[EventID=1035]]'
   Get-WinEvent -LogName 'Application' -FilterXPath $XPath
   

   • Pokud se vrátí události, dotaz je platný.
   • Pokud se zobrazí zpráva "Nebyly nalezeny žádné události, které odpovídají zadaným kritériím výběru", může být dotaz platný, ale na místním počítači neexistují žádné odpovídající události.
   • Pokud se zobrazí zpráva Zadaný dotaz je neplatný, syntaxe dotazu je neplatná.

7. Po přidání všech požadovaných výrazů filtru vyberte Další: Zkontrolovat a vytvořit.

8. Až se zobrazí zpráva o úspěšném ověření, vyberte Vytvořit.

V části Konfigurace na stránce konektoru se zobrazí všechna pravidla shromažďování dat, včetně pravidel pro shromažďování dat vytvořených prostřednictvím rozhraní API. Odsud můžete upravit nebo odstranit existující pravidla.

Vytváření pravidel shromažďování dat pomocí rozhraní API

Pravidla shromažďování dat můžete vytvořit také pomocí rozhraní API, což může usnadnit život, pokud vytváříte mnoho pravidel, jako je například mssp. Tady je příklad (pro Zabezpečení Windows Události prostřednictvím konektoru AMA), který můžete použít jako šablonu pro vytvoření pravidla:

Adresa URL a hlavička požadavku

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Text požadavku

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Další informace naleznete v tématu:

• Pravidla shromažďování dat (DCR) ve službě Azure Monitor
• Schéma rozhraní API pravidel shromažďování dat

Další kroky

Další informace naleznete v tématu:

• Katalog řešení Microsoft Sentinel
• Integrace analýzy hrozeb ve službě Microsoft Sentinel