Microsoft Sentinel verbinden met andere Microsoft-services met een gegevensconnector op basis van een Windows-agent
In dit artikel wordt beschreven hoe u Microsoft Sentinel verbindt met andere Microsoft-services windows-agentverbindingen. Microsoft Sentinel maakt gebruik van de Azure Monitor-agent om ingebouwde, service-naar-service-ondersteuning te bieden voor gegevensopname van veel Azure- en Microsoft 365-services, Amazon Web Services en verschillende Windows Server-services.
De Azure Monitor-agent maakt gebruik van regels voor gegevensverzameling (DCR's) om de gegevens te definiëren die van elke agent moeten worden verzameld. Regels voor gegevensverzameling bieden twee verschillende voordelen:
Beheer verzamelingsinstellingen op schaal terwijl u nog steeds unieke, bereikconfiguraties toestaat voor subsets van machines. Ze zijn onafhankelijk van de werkruimte en onafhankelijk van de virtuele machine, wat betekent dat ze eenmaal kunnen worden gedefinieerd en opnieuw kunnen worden gebruikt voor alle machines en omgevingen. Zie Gegevensverzameling configureren voor de Azure Monitor-agent.
Bouw aangepaste filters om de exacte gebeurtenissen te kiezen die u wilt opnemen. De Azure Monitor-agent gebruikt deze regels om de gegevens in de bron te filteren en alleen de gewenste gebeurtenissen op te nemen, terwijl alles achterblijft. Dit kan u veel geld besparen in gegevensopnamekosten!
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
Belangrijk
Sommige connectors op basis van de Azure Monitor-agent (AMA) zijn momenteel beschikbaar als PREVIEW-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Vereisten
U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.
Als u gebeurtenissen wilt verzamelen van een systeem dat geen virtuele Azure-machine is, moet Azure Arc zijn geïnstalleerd en ingeschakeld voordat u de azure Monitor Agent-connector inschakelt.
Dit zijn onder andere de nieuwe mogelijkheden:
- Windows-servers geïnstalleerd op fysieke machines
- Windows-servers geïnstalleerd op on-premises virtuele machines
- Windows-servers geïnstalleerd op virtuele machines in niet-Azure-clouds
Voor de gegevensconnector voor door Windows doorgestuurde gebeurtenissen:
- U moet Windows Event Collection (WEC) hebben ingeschakeld en uitgevoerd, waarbij de Azure Monitor-agent is geïnstalleerd op de WEC-computer.
- U wordt aangeraden de ASIM-parsers (Advanced Security Information Model) te installeren om volledige ondersteuning voor gegevensnormalisatie te garanderen. U kunt deze parsers implementeren vanuit de
Azure-SentinelGitHub-opslagplaats met behulp van de knop Implementeren in Azure daar.
Installeer de gerelateerde Microsoft Sentinel-oplossing vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.
Regels voor gegevensverzameling maken via de GUI
Selecteer configuratiegegevensconnectors> in Microsoft Sentinel. Selecteer de connector in de lijst en selecteer vervolgens de pagina Connector openen in het detailvenster. Volg vervolgens de instructies op het scherm onder het tabblad Instructies , zoals beschreven in de rest van deze sectie.
Controleer of u over de juiste machtigingen beschikt, zoals beschreven in de sectie Vereisten op de connectorpagina.
Selecteer onder Configuratie de optie +Regel voor gegevensverzameling toevoegen. De wizard Gegevensverzamelingsregel maken wordt aan de rechterkant geopend.
Voer onder Basisinformatie een regelnaam in en geef een abonnement en resourcegroep op waarin de regel voor gegevensverzameling (DCR) wordt gemaakt. Dit hoeft niet dezelfde resourcegroep of hetzelfde abonnement te zijn op de bewaakte machines en de bijbehorende koppelingen, zolang ze zich in dezelfde tenant bevinden.
Selecteer op het tabblad Resources de optie +Resource(s) toevoegen om machines toe te voegen waarop de regel voor gegevensverzameling van toepassing is. Het dialoogvenster Een bereik selecteren wordt geopend en u ziet een lijst met beschikbare abonnementen. Vouw een abonnement uit om de resourcegroepen te bekijken en vouw een resourcegroep uit om de beschikbare machines te zien. U ziet virtuele Azure-machines en servers met Azure Arc in de lijst. U kunt de selectievakjes van abonnementen of resourcegroepen markeren om alle computers te selecteren die ze bevatten, of u kunt afzonderlijke machines selecteren. Selecteer Toepassen wanneer u al uw computers hebt gekozen. Aan het einde van dit proces wordt de Azure Monitor-agent geïnstalleerd op alle geselecteerde computers waarop deze nog niet is geïnstalleerd.
Kies op het tabblad Verzamelen de gebeurtenissen die u wilt verzamelen: selecteer Alle gebeurtenissen of Aangepast om andere logboeken op te geven of om gebeurtenissen te filteren met behulp van XPath-query's. Voer expressies in het vak in waarmee specifieke XML-criteria worden geëvalueerd voor gebeurtenissen die moeten worden verzameld en selecteer vervolgens Toevoegen. U kunt maximaal 20 expressies invoeren in één vak en maximaal 100 vakken in een regel.
Zie de Documentatie van Azure Monitor voor meer informatie.
Notitie
De Windows-beveiliging Events Connector biedt twee andere vooraf gebouwde gebeurtenissets die u kunt verzamelen: Algemeen en Minimaal.
De Azure Monitor-agent ondersteunt alleen XPath-query's voor XPath-versie 1.0.
Als u de geldigheid van een XPath-query wilt testen, gebruikt u de PowerShell-cmdlet Get-WinEvent met de parameter -FilterXPath . Voorbeeld:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- Als er gebeurtenissen worden geretourneerd, is de query geldig.
- Als u het bericht 'Er zijn geen gebeurtenissen gevonden die voldoen aan de opgegeven selectiecriteria' wordt weergegeven, is de query mogelijk geldig, maar er zijn geen overeenkomende gebeurtenissen op de lokale computer.
- Als u het bericht 'De opgegeven query is ongeldig' ontvangt, is de syntaxis van de query ongeldig.
Wanneer u alle gewenste filterexpressies hebt toegevoegd, selecteert u Volgende: Controleren en maken.
Als u het bericht Validatie geslaagd ziet, selecteert u Maken.
U ziet al uw regels voor het verzamelen van gegevens, inclusief regels die zijn gemaakt via de API, onder Configuratie op de connectorpagina. Hier kunt u bestaande regels bewerken of verwijderen.
Regels voor gegevensverzameling maken met behulp van de API
U kunt ook regels voor gegevensverzameling maken met behulp van de API, waardoor u eenvoudiger kunt werken als u veel regels maakt, bijvoorbeeld als u een MSSP bent. Hier volgt een voorbeeld (voor de Windows-beveiliging Gebeurtenissen via AMA-connector) die u kunt gebruiken als sjabloon voor het maken van een regel:
Aanvraag-URL en header
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Aanvraagbody
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Zie voor meer informatie:
- Regels voor gegevensverzameling (DCR's) in Azure Monitor
- API-schema voor regels voor gegevensverzameling
Volgende stappen
Zie voor meer informatie: