Freigeben über


Verbinden von Microsoft Sentinel mit anderen Microsoft-Diensten über einen Windows-Agent-basierten Datenconnector

In diesem Artikel wird beschrieben, wie Sie Microsoft Sentinel mit einer Windows-Agent-basierten Verbindung mit anderen Microsoft-Diensten verbinden. Microsoft Sentinel verwendet den Azure Monitor-Agent, um integrierte Dienst-zu-Dienst-Unterstützung für die Datenerfassung aus zahlreichen Azure- und Microsoft 365-Diensten, Amazon Web Services und verschiedenen Windows Server-Diensten bereitzustellen.

Der Azure Monitor-Agent verwendet Datensammlungsregeln (Data Collection Rules, DCRs), um die Daten zu definieren, die von den einzelnen Agents gesammelt werden sollen. Datensammlungsregeln haben zwei Vorteile:

  • Sie ermöglichen Ihnen das allgemeine Verwalten von Sammlungseinstellungen, während Sie gleichzeitig eindeutige, bereichsbezogene Konfigurationen für Untergruppen von Computern festlegen können. Dank ihrer Unabhängigkeit von Arbeitsbereichen und virtuellen Computern können sie einmalig definiert und für verschiedene Computer und Umgebungen wiederverwendet werden. Weitere Informationen finden Sie unter Konfigurieren der Datensammlung für den Azure Monitor-Agent.

  • Erstellen Sie benutzerdefinierte Filter, um genau die Ereignisse auszuwählen, die Sie erfassen möchten. Der Azure Monitor-Agent filtert anhand dieser Regeln die Daten in der Quelle und erfasst nur die von Ihnen gewünschten Ereignisse, während alles andere unberücksichtigt bleibt. Dies kann Ihnen viel Geld bei den Kosten für die Datenerfassung sparen!

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Wichtig

Einige Connectors, die auf dem Azure Monitor-Agent (AMA) basieren, befinden sich derzeit in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

  • Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich.

  • Um Ereignisse von einem System zu erfassen, das kein virtueller Azure-Computer ist, muss auf dem System Azure Arc installiert und aktiviert sein, bevor Sie den Azure Monitor-Agent-basierten Connector aktivieren.

    Dies schließt Folgendes ein:

    • Auf physischen Computern installierte Windows-Server
    • Auf lokalen virtuellen Computern installierte Windows-Server
    • Auf virtuellen Computern in Nicht-Azure-Clouds installierte Windows-Server
  • Erfahren Sie mehr über den Datenconnector für weitergeleitete Windows-Ereignisse:

    • Die Windows-Ereignissammlung (Windows Event Collection, WEC) muss aktiviert sein und ausgeführt werden, und der Azure Monitor-Agent muss auf dem WEC-Computer installiert sein.
    • Es wird empfohlen, die ASIM-Parser (Advanced Security Information Model) zu installieren, um die vollständige Unterstützung für die Datennormalisierung sicherzustellen. Sie können diese Parser aus dem Azure-Sentinel GitHub-Repository über die dortige Schaltfläche In Azure bereitstellen.
  • Installieren Sie die zugehörige Microsoft Sentinel-Lösung aus dem Content Hub in Microsoft Sentinel. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.

Erstellen von Datensammlungsregeln über die GUI

  1. Wählen Sie in Microsoft Sentinel die Option Konfiguration>Datenconnectors aus. Wählen Sie in der Liste Ihren Connector und dann im Detailbereich die Option Connectorseite öffnen aus. Folgen Sie anschließend wie im Rest dieses Abschnitts beschrieben den Anweisungen auf dem Bildschirm auf der Registerkarte Anweisungen.

  2. Vergewissern Sie sich, dass Sie über die entsprechenden Berechtigungen verfügen, wie im Abschnitt Voraussetzungen auf der Seite „Connector“ beschrieben.

  3. Wählen Sie unter Konfiguration die Option + Datensammlungsregeln hinzufügen aus. Der Assistent zum Erstellen von Datensammlungsregel wird auf der rechten Seite geöffnet.

  4. Geben Sie unter Grundlagen einen Regelnamen ein, und geben Sie ein Abonnement und eine Ressourcengruppe an, in denen die Datensammlungsregel (DCR) erstellt werden soll. Dies muss nicht dieselbe Ressourcengruppe oder dasselbe Abonnement sein, in denen sich die überwachten Computer und ihre Zuordnungen befinden, solange sie sich im selben Mandanten befinden.

  5. Wählen Sie auf der Registerkarte Ressourcen die Option +Ressourcen hinzufügen aus, um Computer hinzuzufügen, für die die Datensammlungsregel gelten soll. Das Dialogfeld Bereich auswählen wird geöffnet, und es wird eine Liste der verfügbaren Abonnements angezeigt. Erweitern Sie ein Abonnement, um seine Ressourcengruppen anzuzeigen, und erweitern Sie eine Ressourcengruppe, um die verfügbaren Computer anzuzeigen. In der Liste werden virtuelle Azure-Computer und Server mit Azure Arc-Unterstützung angezeigt. Sie können die Kontrollkästchen von Abonnements oder Ressourcengruppen aktivieren, um alle darin enthaltenen Computer auszuwählen, oder Sie können einzelne Computer auswählen. Wählen Sie Anwenden aus, wenn Sie alle Ihre Computer ausgewählt haben. Am Ende dieses Prozesses wird der Azure Monitor-Agent auf allen ausgewählten Computern installiert, auf denen er noch nicht installiert ist.

  6. Wählen Sie auf der Registerkarte Sammeln die Ereignisse aus, die Sie sammeln möchten: Wählen Sie Alle Ereignisse oder Benutzerdefiniert aus, um andere Protokolle anzugeben oder Ereignisse mit XPath-Abfragen zu filtern. Geben Sie Ausdrücke in das Feld ein, die zu bestimmten XML-Kriterien für zu erfassende Ereignisse ausgewertet werden, und wählen Sie dann Hinzufügen aus. Sie können bis zu 20 Ausdrücke in ein einzelnes Feld und bis zu 100 Felder in eine Regel eingeben.

    Weitere Informationen finden Sie in der Dokumentation zu Azure Monitor.

    Hinweis

    • Der Connector „Windows-Sicherheitsereignisse“ verfügt über zwei andere vordefinierte Ereignissätze, die Sie für die Sammlung auswählen können: Allgemein und Minimal.

    • Der Azure Monitor-Agent unterstützt XPath-Abfragen nur für XPath, Version 1.0.

    Verwenden Sie zum Testen der Gültigkeit einer XPath-Abfrage das PowerShell-Cmdlet Get-WinEvent mit dem Parameter -FilterXPath. Zum Beispiel:

    $XPath = '*[System[EventID=1035]]'
    Get-WinEvent -LogName 'Application' -FilterXPath $XPath
    
    • Werden Ereignisse zurückgegeben, ist die Abfrage gültig.
    • Wenn Sie die Meldung „Es wurden keine Ereignisse gefunden, die mit den angegebenen Auswahlkriterien übereinstimmen“ erhalten, ist die Abfrage möglicherweise gültig, aber es sind keine übereinstimmenden Ereignisse auf dem lokalen Computer vorhanden.
    • Wenn Sie die Meldung „Die angegebene Abfrage ist ungültig“ erhalten, ist die Abfragesyntax ungültig.
  7. Wenn Sie alle gewünschten Filterausdrücke hinzugefügt haben, wählen Sie Weiter: Überprüfen + erstellen aus.

  8. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

Alle Ihre Datensammlungsregeln, einschließlich der über die API erstellten Regeln, werden unter Konfiguration auf der Connectorseite angezeigt. Dort können Sie vorhandene Regeln bearbeiten oder löschen.

Erstellen von Datensammlungsregeln mithilfe der API

Sie können Datensammlungsregeln auch mithilfe der API erstellen, was Ihnen das Leben erleichtern kann, wenn Sie viele Regeln erstellen, z. B. wenn Sie ein MSSP sind. Hier ist ein Beispiel angegeben (für den Connector Sicherheitsrelevante Windows-Ereignisse über Azure Monitor-Agent), das Sie als Vorlage für die Erstellung einer Regel verwenden können:

Anforderungs-URL und -Header

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Anforderungstext

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Weitere Informationen finden Sie unter:

Nächste Schritte

Weitere Informationen finden Sie unter