Подключение Microsoft Sentinel к другим службам Майкрософт с помощью соединителя данных на основе агента Windows
В этой статье описывается, как подключить Microsoft Sentinel к другим службы Майкрософт подключениям на основе агента Windows. Microsoft Sentinel использует агент Azure Monitor для обеспечения встроенной поддержки приема данных из многих служб Azure и Microsoft 365, Amazon Web Services и различных служб Windows Server.
Агент Azure Monitor использует правила сбора данных (DCR) для определения данных для сбора данных от каждого агента. Правила сбора данных обеспечивают два отличительных преимущества:
Управление параметрами сбора в большом масштабе, сохраняя при этом уникальные конфигурации с заданной областью для подмножеств компьютеров. Они не зависят от рабочей области и от виртуальной машины, что позволяет определять их один раз и многократно использовать на разных компьютерах и в разных средах. Сведения о настройке сбора данных для агента Azure Monitor.
Создание настраиваемых фильтров для выбора точных событий, которые требуется принять. Агент Azure Monitor использует эти правила для фильтрации данных в источнике и приема только нужных событий. Это поможет значительно сэкономить на приеме данных.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Внимание
Некоторые соединители на основе агента Azure Monitor (АМА) в настоящее время предоставляются в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Необходимые компоненты
У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
Чтобы получать события из любой системы, которая не является виртуальной машиной Azure, в системе необходимо установить и включить Azure Arc перед включением соединителя на базе агента Azure Monitor.
В том числе:
- Серверы Windows, установленные на физических компьютерах
- Серверы Windows, установленные на локальных виртуальных машинах
- Серверы Windows, установленные на виртуальных машинах в облаках, отличных от Azure
Для соединителя данных данных о перенаправленных событиях Windows:
- Необходимо включить и запустить коллекцию событий Windows (WEC) с агентом Azure Monitor, установленным на компьютере WEC.
- Рекомендуется установить средства синтаксического анализа расширенной информационной модели безопасности (ASIM), чтобы обеспечить полную поддержку нормализации данных. Эти средства синтаксического анализа можно развернуть из
Azure-Sentinelрепозитория GitHub, нажав на кнопку Развернуть в Azure.
Установите связанное решение Microsoft Sentinel из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Создание правил сбора данных с помощью графического интерфейса
В Microsoft Sentinel выберите соединители данных конфигурации>. Выберите соединитель из списка, а затем щелкните Открыть страницу соединителя в области сведений. Затем выполняйте инструкции на открывшейся вкладке Инструкции, как описано в оставшейся части этой статьи.
Убедитесь, что есть соответствующие разрешения, описанные в статье Предварительные требования на странице соединителей.
В разделе Конфигурация выберите + Добавить правило сбора данных. Справа откроется мастер создания правил сбора данных.
В разделе Основные сведения введите имя правила и укажите подписку и группу ресурсов, в которых будет создано правило сбора данных. Это может быть не та же группа ресурсов или подписка, в которой находятся отслеживаемые компьютеры и их связи, но они должны находиться в одном клиенте.
На вкладке Ресурсы выберите + Добавить ресурсы, чтобы добавить компьютеры, к которым будет применяться правило сбора данных. Откроется диалоговое окно Выбор области, в котором вы увидите список доступных подписок. Разверните подписку, чтобы просмотреть ее группы ресурсов, и разверните группу ресурсов, чтобы просмотреть доступные компьютеры. В списке вы увидите виртуальные машины Azure и серверы с поддержкой Azure Arc. Отметьте флажками подписки или группы ресурсов, чтобы выбрать все компьютеры, которые они содержат, или выберите отдельные компьютеры. Выбрав все компьютеры, щелкните Применить. По завершении этого процесса агент Azure Monitor будет установлен на всех выбранных компьютерах, на которых он еще не установлен.
На вкладке "Сбор" выберите события, которые вы хотите собрать: выберите все события или настраиваемые, чтобы указать другие журналы или отфильтровать события с помощью запросов XPath. Введите в поле выражения, которые вычисляют определенные критерии XML для собираемых событий, а затем нажмите кнопку Добавить. В одном поле можно ввести до 20 выражений, в одном правиле может быть до 100 полей.
Дополнительные сведения см. в документации по Azure Monitor.
Примечание.
Соединитель событий безопасности Windows предлагает на выбор два других предварительно созданных набора событий для сбора данных: Общий и Минимальный.
Агент Azure Monitor поддерживает запросы XPath только для XPath версии 1.0.
Чтобы проверить допустимость запроса XPath, используйте командлет PowerShell Get-WinEvent с параметром -FilterXPath . Например:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- Если события возвращаются, запрос является допустимым.
- При появлении сообщения "Не удалось найти события, соответствующие указанному условию выбора" запрос может быть допустимым, но на локальном компьютере нет соответствующих событий.
- Если получено сообщение "Запрос задан неверно", синтаксис запроса является недопустимым.
После добавления всех нужных выражений фильтра выберите Далее: проверить и создать.
При появлении сообщения Проверка пройдена нажмите кнопку Создать.
Вы увидите все правила сбора данных, включая созданные через API, в разделе "Конфигурация" на странице соединителя . Здесь можно изменять и удалять существующие правила.
Создание правил сбора данных с помощью API
Вы также можете создавать правила сбора данных с помощью API, что упрощает жизнь при создании множества правил, таких как MSSP. Ниже приведен пример (для соединителя событий безопасности Windows через AMA), который можно использовать в качестве шаблона для создания правила.
URL-адрес и заголовок запроса
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Текст запроса
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Дополнительные сведения см. в разделе:
Дальнейшие действия
Дополнительные сведения см. в разделе: