Подключение данных Виртуального рабочего стола Azure к Microsoft Sentinel
В этой статье объясняется, как отслеживать работу среды Виртуального рабочего стола Azure с помощью Microsoft Sentinel.
Например, наблюдение за средами Виртуального рабочего стола Azure позволяет перенести часть работы на виртуализированные рабочие столы, не ухудшая при этом безопасность организации.
Данные Виртуального рабочего стола Azure в Microsoft Sentinel
Данные Виртуального рабочего стола Azure в Microsoft Sentinel относятся к перечисленным ниже типам.
| Data | Description |
|---|---|
| журналы событий Windows; | Журналы событий Windows из среды Виртуального рабочего стола Azure передаются в рабочую область Log Analytics с поддержкой Microsoft Sentinel так же, как и журналы событий Windows с других компьютеров Windows за пределами среды Виртуального рабочего стола Azure. Установите агент Azure Monitor на компьютер Windows и настройте журналы событий Windows для отправки в рабочую область Log Analytics. Дополнительные сведения см. в разделе: - Установка агента Azure Monitor на клиентских устройствах Windows с помощью установщика клиента - Сбор событий Windows с помощью агента Azure Monitor - события Безопасность Windows через соединитель AMA для Microsoft Sentinel |
| Оповещения Microsoft Defender для конечной точки | Чтобы настроить Defender для конечной точки для работы с Виртуальным рабочим столом Azure, используйте ту же процедуру, что и для любой другой конечной точки Windows. Для получения дополнительной информации см. - Настройка развертывания Microsoft Defender для конечной точки - Подключение данных из XDR в Microsoft Defender к Microsoft Sentinel |
| Диагностика виртуального рабочего стола Azure | Диагностика виртуальных рабочих столов Azure — это функция PaaS-службы Виртуального рабочего стола Azure, которая фиксирует в журнале сведения о том, что пользователь, которому назначена роль Виртуального рабочего стола Azure, работает с этой службой. Каждый журнал содержит сведения о том, какая роль Виртуального рабочего стола Azure была задействована, любые сообщения об ошибках, отображаемые во время сеанса, сведения о клиенте и сведения о пользователе. С помощью функции диагностики можно создавать журналы действий как для пользователей, так и для административных действий. Дополнительные сведения см. в статье Использование Log Analytics для функции диагностики на Виртуальном рабочем столе Azure (классическая модель). |
Подключение данных Виртуального рабочего стола Azure
Чтобы начать прием данных с Виртуального рабочего стола Azure в Microsoft Sentinel, воспользуйтесь инструкциями из документации по Виртуальному рабочему столу Azure.
Дополнительные сведения см. в статье Использование Log Analytics для диагностики.
Поиск данных
После успешной установки подключения выполните запросы в Microsoft Sentinel к данным Log Analytics.
Примеры запросов можно посмотреть в документации по Виртуальному рабочему столу Azure.
Microsoft Sentinel также содержит встроенные запросы в разделе Общие>Журналы>Виртуальный рабочий стол Azure:
Следующие шаги
Дополнительные сведения см. в глоссарии Azure Monitor для Виртуального рабочего стола Azure.