Připojení použití událostí zabezpečení prostřednictvím Připojení oru starší verze agenta

Dokončeno

Události zabezpečení prostřednictvím konektoru starší verze agenta umožňují streamovat všechny události zabezpečení ze systémů Windows (serverů a pracovních stanic, fyzických a virtuálních) do pracovního prostoru Služby Microsoft Sentinel. Díky tomu můžete na řídicích panelech zobrazit události zabezpečení Systému Windows, použít je k vytváření vlastních upozornění a spoléhat se na ně, abyste mohli zlepšit šetření. Teď máte lepší přehled o síti vaší organizace a rozšíření možností operací zabezpečení. Můžete vybrat, které události se mají streamovat z následujících sad:

• Všechny události – Všechny události zabezpečení Windows a AppLocker.

• Běžné – standardní sada událostí pro účely auditování. V této sadě je zahrnutý úplný záznam auditu uživatele. Obsahuje například události přihlášení uživatele i odhlášení uživatelů (ID událostí 4624, 4634). Existují také akce auditování, jako jsou změny skupiny zabezpečení, operace kerberos řadiče domény klíče a další typy událostí v souladu s uznávanými osvědčenými postupy.

• Sada událostí Common může obsahovat některé typy událostí, které nejsou tak běžné. Důvodem je to, že hlavním bodem společné sady je snížení objemu událostí na lépe spravovatelnou úroveň a zachování úplné možnosti záznamu auditu.

• Minimální – malá sada událostí, která by mohla znamenat potenciální hrozby. Tato sada neobsahuje úplný záznam auditu. Týká se pouze událostí, které můžou znamenat úspěšné porušení zabezpečení a další významné události s nízkými mírami výskytu. Obsahuje například úspěšná a neúspěšná přihlášení uživatelů (ID události 4624, 4625). Přesto neobsahuje informace o odhlašování (4634), které i když je důležité pro auditování, pro detekci porušení zabezpečení smysluplné a má poměrně velký objem. Většina objemu dat této sady se skládá z událostí přihlášení a událostí vytváření procesů (ID události 4688).

• Žádné – žádné události zabezpečení ani AppLockeru. (Toto nastavení slouží k zakázání konektoru.)

Připojení virtuálních počítačů Azure s Windows

Zobrazení stránky konektoru:

1. Vyberte stránku Datové konektory.

2. Vyberte Události zabezpečení.

3. Potom v podokně náhledu vyberte stránku Otevřít konektor .

4. Ověřte, že máte odpovídající oprávnění, jak je popsáno v části Požadavky.

5. Vyberte Nainstalovat agenta na virtuální počítač Azure s Windows a pak na odkazu, který se zobrazí níže.

6. Pro každý virtuální počítač, který chcete připojit, vyberte jeho název v seznamu, který se zobrazí vpravo, a pak vyberte Připojení.

7. Vyberte, která sada událostí (Vše, Společné nebo Minimální) chcete streamovat.

8. Vyberte Použít změny.

Připojení počítačů s Windows mimo Azure

Zobrazení stránky konektoru:

1. Vyberte stránku Datové konektory .

2. Vyberte Události zabezpečení.

3. Potom v podokně náhledu vyberte stránku Otevřít konektor .

4. Ověřte, že máte odpovídající oprávnění, jak je popsáno v části Požadavky.

5. Vyberte Nainstalovat agenta na počítač s Windows mimo Azure a pak na odkazu, který se zobrazí níže.

6. Vyberte příslušné odkazy ke stažení, které se zobrazí vpravo v části Počítače se systémem Windows.

7. Pomocí staženého spustitelného souboru nainstalujte agenta do zvolených systémů Windows a nakonfigurujte ho pomocí ID a klíčů pracovního prostoru, které se zobrazí pod odkazy ke stažení uvedené výše.

8. Vyberte, která sada událostí (Vše, Společné nebo Minimální) chcete streamovat.

9. Vyberte Použít změny.