Conexión de Microsoft Sentinel a otros servicios de Microsoft con un conector de datos basado en el agente de Windows
En este artículo se describe cómo conectar Microsoft Sentinel a otros servicios de Microsoft mediante conexiones basadas en el agente de Windows. Microsoft Sentinel usa el agente de Azure Monitor para proporcionar compatibilidad integrada de servicio a servicio para la ingesta de datos de muchos servicios de Azure y Microsoft 365, Amazon Web Services y varios servicios de Windows Server.
El agente de Azure Monitor usa reglas de recopilación de datos (DCR) para definir los datos que se recopilan de cada agente. Las reglas de recopilación de datos ofrecen dos ventajas distintas:
Permiten administrar la configuración de la recopilación a gran escala y, al mismo tiempo, habilitan configuraciones únicas con ámbito para subconjuntos de máquinas. Son independientes del área de trabajo e independientes de la máquina virtual, lo que significa que se pueden definir una vez y reutilizarlas en distintas máquinas y entornos. Consulte Configuración de la recopilación de datos para el agente de Azure Monitor.
Cree filtros personalizados para elegir los eventos exactos que quiere ingerir. El agente de Azure Monitor usa estas reglas para filtrar los datos en el origen e ingerir solo los eventos que quiera, a la vez que se olvida del resto. Esto puede ahorrar mucho dinero en costos de ingesta de datos.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Importante
Algunos conectores basados en el agente de Azure Monitor (AMA) se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Requisitos previos
Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.
Para recopilar eventos de cualquier sistema que no sea una máquina virtual de Azure, el sistema debe tener Azure Arc instalado y habilitado antes de habilitar el conector basado en agente de Azure Monitor.
Esto incluye:
- Servidores Windows instalados en máquinas físicas
- Servidores Windows instalados en máquinas virtuales locales
- Servidores Windows instalados en máquinas virtuales en nubes que no son de Azure
Para el conector de datos de eventos reenviados de Windows:
- Debe tener windows Event Collection (WEC) habilitado y en ejecución, con el agente de Azure Monitor instalado en el equipo WEC.
- Se recomienda instalar los analizadores del Modelo avanzado de información de seguridad (ASIM) para garantizar la compatibilidad total con la normalización de datos. Puede implementar estos analizadores desde el repositorio de GitHub de
Azure-Sentinel
mediante el botón Implementar en Azure que aparece allí.
Instale la solución de Microsoft Sentinel relacionada desde el centro de contenido de Microsoft Sentinel. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.
Creación de reglas de recopilación de datos a través de la GUI
En Microsoft Sentinel, seleccione Configuraciónion>Conectores de datos. Seleccione su conector de la lista y, a continuación, seleccione Abrir la página del conector en el panel de detalles. A continuación, siga las instrucciones en pantalla debajo de la pestaña Instrucciones, tal como se describe en el resto de esta sección.
Compruebe que tiene los permisos adecuados, tal como se describe en la sección Requisitos previos de la página del conector.
En Configuración, seleccione +Agregar regla de recopilación de datos. El Asistente para crear reglas de recopilación de datos se abrirá a la derecha.
En Aspectos básicos, escriba una regla de nombre y especifique una suscripción y un grupo de recursos donde se creará la regla de recopilación de datos (DCR). No tiene que ser el mismo grupo de recursos o suscripción en el que se encuentran las máquinas supervisadas y sus asociaciones, siempre y cuando estén en el mismo inquilino.
En la pestaña Recursos, seleccione +Agregar recursos para agregar máquinas a las que se aplicará la regla de recopilación de datos. Se abrirá el cuadro de diálogo Seleccionar un ámbito y verá una lista de suscripciones disponibles. Expanda una suscripción para ver sus grupos de recursos y expanda un grupo de recursos para ver las máquinas disponibles. Verá las máquinas virtuales de Azure y los servidores habilitados para Azure Arc en la lista. Puede marcar las casillas de suscripciones o grupos de recursos para seleccionar todas las máquinas que contienen, o puede seleccionar máquinas individuales. Seleccione Aplicar cuando haya elegido todas las máquinas. Al final de este proceso, el agente de Azure Monitor se instalará en las máquinas seleccionadas que aún no lo tengan instalado.
En la pestaña Recopilar, elija los eventos que le gustaría recopilar: seleccione Todos los eventos o Personalizado para especificar otros registros o filtrar eventos usando las consultas de XPath. Escriba expresiones en el cuadro que se evalúen como criterios XML específicos para los eventos que se recopilan y, a continuación, seleccione Agregar. Puede escribir hasta 20 expresiones en un solo cuadro y hasta 100 cuadros en una regla.
Para más información, vea la documentación de Azure Monitor.
Nota:
El conector de eventos de seguridad de Windows ofrece otros dos conjuntos de eventos precompilados que puede recopilar: el común y el mínimo.
El agente de Azure Monitor admite consultas XPath solo para la versión 1.0 de XPath.
Use el cmdlet de PowerShell Get-WinEvent con el parámetro -FilterXPath para probar la validez de una consulta XPath. Por ejemplo:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Si se devuelven eventos, la consulta es válida.
- Si recibe el mensaje “No se encontraron eventos que coincidan con los criterios de selección especificados”, la consulta puede ser válida, pero no hay eventos coincidentes en el equipo local.
- Si recibe el mensaje “La consulta especificada no es válida”, la sintaxis de la consulta no es válida.
Cuando haya agregado todas las expresiones de filtro que quiera, seleccione Siguiente: Revisar y crear.
Cuando reciba el mensaje Validación superada, seleccione Crear.
Verá todas las reglas de recopilación de datos, incluidas las creadas a través de la API en Configuración en la página del conector. Desde allí, puede editar o eliminar las reglas existentes.
Creación de reglas de recopilación de datos mediante la API
También puede crear reglas de recopilación de datos mediante la API, lo que puede facilitarle la vida si va a crear muchas reglas, como por ejemplo si es un MSSP. A continuación, se muestra un ejemplo (para los eventos de seguridad de Windows a través del conector AMA) que puede usar como plantilla para crear una regla:
Encabezado y dirección URL de solicitud
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Cuerpo de la solicitud
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Para más información, vea:
- Reglas de recopilación de datos (DCR) en Azure Monitor
- Esquema de API de reglas de recopilación de datos
Pasos siguientes
Para más información, consulte: