Udostępnij za pośrednictwem


Łącznik dzienników zdarzeń zdarzeń zabezpieczeń kontrolerów domeny usługi Microsoft Active Directory dla usługi Microsoft Sentinel

[Opcja 3 i 4] — korzystanie z agenta usługi Azure Monitor — można przesyłać strumieniowo część lub wszystkie dzienniki zdarzeń zabezpieczeń kontrolerów domeny z komputerów z systemem Windows połączonych z obszarem roboczym usługi Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia tworzenie alertów niestandardowych i ulepszanie badania.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics SecurityEvent
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Community

Przykłady zapytań

Wszystkie dzienniki inspekcji

SecurityEvent 
| sort by TimeGenerated

Wymagania wstępne

Aby zintegrować z dziennikami zdarzeń zdarzeń zabezpieczeń kontrolerów domeny usługi Microsoft Active-Directory, upewnij się, że:

  • : Usługa Azure Log Analytics będzie przestarzała, aby zbierać dane z maszyn wirtualnych spoza platformy Azure, zaleca się usługę Azure Arc. Dowiedz się więcej
  • Szczegółowa dokumentacja: UWAGA: >Szczegółowa dokumentacja dotycząca procedury instalacji i użycia można znaleźć tutaj

Instrukcje instalacji dostawcy

Uwaga

To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą wygenerować bardzo dużą ilość danych. W zależności od tego, co chcesz zbierać, śledzić w skoroszytach, regułach analizy, możliwościach wyszukiwania zagrożeń wybierzesz opcje, które zostaną wdrożone. Każda opcja jest niezależna od jednej z pozostałych. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Zabezpieczenia programu Microsoft Exchange"

Ten łącznik danych jest opcją 3 i 4 witryny typu wiki.

  1. Pobieranie i instalowanie agentów potrzebnych do zbierania dzienników dla usługi Microsoft Sentinel

Typ serwerów (serwerów Exchange, kontrolerów domeny połączonych z serwerami Exchange lub wszystkich kontrolerów domeny) zależy od opcji, którą chcesz wdrożyć.

Dzienniki zabezpieczeń kontrolerów domeny

Wybierz sposób przesyłania strumieniowego dzienników zabezpieczeń kontrolerów domeny. Jeśli chcesz zaimplementować opcję 3, wystarczy wybrać kontroler domeny w tej samej lokacji co serwery exchange. Jeśli chcesz zaimplementować opcję 4, możesz wybrać wszystkie kontrolery domeny lasu.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.