Соединитель журналов событий безопасности контроллеров домена Microsoft Active Directory для Microsoft Sentinel
[Вариант 3 и 4] С помощью агента Azure Monitor можно передавать часть или все журналы событий безопасности контроллеров домена с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | SecurityEvent |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Сообщество |
Примеры запросов
Все журналы аудита
SecurityEvent
| sort by TimeGenerated
Необходимые компоненты
Чтобы интегрироваться с журналами событий безопасности контроллеров домена Microsoft Active Directory, убедитесь, что у вас есть:
- : Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется использовать Azure Arc. Подробнее
- Подробная документация. Примечание. >Подробные сведения о процедуре установки и использовании см. здесь.
Инструкции по установке поставщика
Примечание.
Это решение основано на параметрах. Это позволяет выбрать, какие данные будут получаться, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правила аналитики, возможности охоты, которые будут развернуты. Каждый вариант не зависит от другого. Дополнительные сведения о каждом варианте: вики-сайт "Безопасность Microsoft Exchange"
Этот соединитель данных — это вариант 3 и 4 вики-сайта.
- Скачивание и установка агентов, необходимых для сбора журналов для Microsoft Sentinel
Тип серверов (серверы Exchange, контроллеры домена, связанные с серверами Exchange Или всеми контроллерами домена) зависят от варианта развертывания.
Журналы безопасности контроллеров домена
Выберите способ потоковой передачи журналов безопасности контроллеров домена. Если вы хотите реализовать вариант 3, просто необходимо выбрать контроллер домена на том же сайте, что и серверы Exchange Server. Если вы хотите реализовать вариант 4, можно выбрать все контроллеры домена леса.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.