Łącznik dzienników zdarzeń zdarzeń zabezpieczeń kontrolerów domeny usługi Microsoft Active Directory dla usługi Microsoft Sentinel
[Opcja 3 i 4] — korzystanie z agenta usługi Azure Monitor — można przesyłać strumieniowo część lub wszystkie dzienniki zdarzeń zabezpieczeń kontrolerów domeny z komputerów z systemem Windows połączonych z obszarem roboczym usługi Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia tworzenie alertów niestandardowych i ulepszanie badania.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Tabele usługi Log Analytics | SecurityEvent |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Community |
Przykłady zapytań
Wszystkie dzienniki inspekcji
SecurityEvent
| sort by TimeGenerated
Wymagania wstępne
Aby zintegrować z dziennikami zdarzeń zdarzeń zabezpieczeń kontrolerów domeny usługi Microsoft Active-Directory, upewnij się, że:
- : Usługa Azure Log Analytics będzie przestarzała, aby zbierać dane z maszyn wirtualnych spoza platformy Azure, zaleca się usługę Azure Arc. Dowiedz się więcej
- Szczegółowa dokumentacja: UWAGA: >Szczegółowa dokumentacja dotycząca procedury instalacji i użycia można znaleźć tutaj
Instrukcje instalacji dostawcy
Uwaga
To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą wygenerować bardzo dużą ilość danych. W zależności od tego, co chcesz zbierać, śledzić w skoroszytach, regułach analizy, możliwościach wyszukiwania zagrożeń wybierzesz opcje, które zostaną wdrożone. Każda opcja jest niezależna od jednej z pozostałych. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Zabezpieczenia programu Microsoft Exchange"
Ten łącznik danych jest opcją 3 i 4 witryny typu wiki.
- Pobieranie i instalowanie agentów potrzebnych do zbierania dzienników dla usługi Microsoft Sentinel
Typ serwerów (serwerów Exchange, kontrolerów domeny połączonych z serwerami Exchange lub wszystkich kontrolerów domeny) zależy od opcji, którą chcesz wdrożyć.
Dzienniki zabezpieczeń kontrolerów domeny
Wybierz sposób przesyłania strumieniowego dzienników zabezpieczeń kontrolerów domeny. Jeśli chcesz zaimplementować opcję 3, wystarczy wybrać kontroler domeny w tej samej lokacji co serwery exchange. Jeśli chcesz zaimplementować opcję 4, możesz wybrać wszystkie kontrolery domeny lasu.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.