Připojení pomocí Zabezpečení Windows Událostí přes Připojení or AMA
Události Zabezpečení Windows prostřednictvím nástroje AMA Připojení or používají pravidla shromažďování dat (DCR) k definování dat, která se mají shromažďovat z každého agenta. Pravidla shromažďování dat nabízejí dvě různé výhody:
Spravujte nastavení kolekce ve velkém měřítku a současně povolte jedinečné konfigurace s vymezeným oborem pro podmnožiny počítačů. Jsou nezávislé na pracovním prostoru a nezávisle na virtuálním počítači, což znamená, že je možné je definovat jednou a znovu použít napříč počítači a prostředími.
Vytvořte vlastní filtry a vyberte přesné události, které chcete ingestovat. Agent Azure Monitoru tato pravidla používá k filtrování dat ve zdroji a ingestování jenom požadovaných událostí a přitom ponechá všechno ostatní.
Požadavky
V pracovním prostoru Microsoft Sentinelu musíte mít oprávnění ke čtení a zápisu.
Pokud chcete shromažďovat události z jakéhokoli systému, který není virtuálním počítačem Azure, musí mít systém nainstalovaný a povolený Azure Arc , než povolíte konektor založený na agentech služby Azure Monitor.
Sem patří:
- Windows servers installed on physical machines
- Windows servers installed on on-premises virtual machines
- Windows servers installed on virtual machines in non-Azure clouds
Připojení hostitelé Windows
V navigační nabídce Služby Microsoft Sentinel vyberte Datové konektory.
V seznamu vyberte Zabezpečení Windows Události prostřednictvím konektoru AMA a pak v podokně podrobností vyberte Otevřít stránku konektoru.
Ověřte, že máte odpovídající oprávnění, jak je popsáno v části Požadavky na stránce konektoru.
V části Konfigurace vyberte +Přidat pravidlo shromažďování dat. Vpravo se otevře průvodce vytvořením pravidla shromažďování dat.
V části Základy zadejte název pravidla a zadejte předplatné a skupinu prostředků, kde se vytvoří pravidlo shromažďování dat (DCR). Nemusí to být stejná skupina prostředků ani předplatné monitorovaných počítačů a jejich přidružení, pokud jsou ve stejném tenantovi.
Na kartě Zdroje vyberte +Přidat prostředky a přidejte počítače, na které se použije pravidlo shromažďování dat. Otevře se dialogové okno Vybrat obor a zobrazí se seznam dostupných předplatných. Rozbalením předplatného zobrazte skupiny prostředků a rozbalte skupinu prostředků, abyste viděli dostupné počítače. V seznamu se zobrazí virtuální počítače Azure a servery s podporou Služby Azure Arc. Zaškrtnutím políček předplatných nebo skupin prostředků můžete vybrat všechny počítače, které obsahují, nebo můžete vybrat jednotlivé počítače. Vyberte Použít, pokud jste zvolili všechny počítače. Na konci tohoto procesu se agent Azure Monitor nainstaluje na všechny vybrané počítače, které ho ještě nemají nainstalované.
Na kartě Shromáždit zvolte události, které chcete shromáždit. Vyberte:
- Všechny události zabezpečení
- Běžný
- Minimální
- Vlastní
Poznámka:
Vlastní umožňuje zadat jiné protokoly nebo filtrovat události pomocí dotazů XPath. V případě dotazů XPath můžete do jednoho pole zadat až 20 výrazů a v pravidlu až 100 polí. Agent Azure Monitor podporuje pouze dotazy XPath pro XPath verze 1.0.
Po přidání všech požadovaných výrazů filtru vyberte Další: Zkontrolovat a vytvořit.
Až se zobrazí zpráva Ověření bylo úspěšné, vyberte Vytvořit.
Všechna pravidla shromažďování dat (včetně pravidel vytvořených prostřednictvím rozhraní API) se zobrazí v části Konfigurace na stránce konektoru. Odsud můžete upravit nebo odstranit existující pravidla.
Otestování platnosti dotazu XPath
K otestování platnosti dotazu XPath použijte rutinu PowerShellu Get-WinEvent s parametrem -FilterXPath. Následující skript ukazuje příklad:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Pokud se vrátí události, dotaz je platný.
- Pokud se zobrazí zpráva "Nebyly nalezeny žádné události, které odpovídají zadaným kritériím výběru", může být dotaz platný, ale na místním počítači neexistují žádné odpovídající události.
- Pokud se zobrazí zpráva Zadaný dotaz je neplatný, syntaxe dotazu je neplatná.