Konektor protokolů událostí zabezpečení řadičů domény Microsoft Active-Directory pro Microsoft Sentinel
[Možnost 3 & 4] – Pomocí agenta služby Azure Monitor můžete streamovat část nebo všechny protokoly událostí zabezpečení řadičů domény z počítačů s Windows připojených k pracovnímu prostoru Služby Microsoft Sentinel pomocí agenta Windows. Toto připojení umožňuje vytvářet vlastní výstrahy a vylepšovat šetření.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Tabulky Log Analytics | SecurityEvent |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Community |
Ukázky dotazů
Všechny protokoly auditu
SecurityEvent
| sort by TimeGenerated
Požadavky
Pokud chcete integrovat protokoly událostí zabezpečení řadičů domény Microsoft Active-Directory, ujistěte se, že máte:
- : Služba Azure Log Analytics bude zastaralá, aby bylo možné shromažďovat data z virtuálních počítačů mimo Azure, doporučuje se Azure Arc. Další informace
- Podrobná dokumentace: POZNÁMKA: >Podrobná dokumentace k postupu instalace a použití najdete tady.
Pokyny k instalaci dodavatele
Poznámka:
Toto řešení je založené na možnostech. To vám umožní zvolit, která data budou ingestovat, protože některé možnosti můžou generovat velmi velký objem dat. V závislosti na tom, co chcete shromažďovat, sledujte v sešitech, analytických pravidlech, možnosti proaktivního vyhledávání, které zvolíte. Jednotlivé možnosti jsou pro jednu z nich nezávislé. Další informace o jednotlivých možnostech najdete na wikiwebu Zabezpečení serveru Microsoft Exchange.
Tento datový konektor je možnost 3 a 4 wikiwebu.
- Stažení a instalace agentů potřebných ke shromažďování protokolů pro Microsoft Sentinel
Typ serverů (servery Exchange, řadiče domény propojené se servery Exchange nebo všechny řadiče domény) závisí na možnosti, kterou chcete nasadit.
Protokoly zabezpečení řadičů domény
Vyberte, jak streamovat protokoly zabezpečení řadičů domény. Pokud chcete implementovat možnost 3, stačí vybrat řadič domény ve stejné lokalitě jako servery Exchange. Pokud chcete implementovat možnost 4, můžete vybrat všechny řadiče domény doménové struktury.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.