Ansluta Microsoft Sentinel till andra Microsoft-tjänster med ett agentbaserat anslutningsprogram i Windows

Den här artikeln beskriver hur du ansluter Microsoft Sentinel till andra Microsoft-tjänster Windows-agentbaserade anslutningar. Microsoft Sentinel använder Azure Monitor-agenten för att tillhandahålla inbyggt service-till-tjänst-stöd för datainmatning från många Azure- och Microsoft 365-tjänster, Amazon Web Services och olika Windows Server-tjänster.

Azure Monitor-agenten använder datainsamlingsregler (DCR) för att definiera de data som ska samlas in från varje agent. Regler för datainsamling ger dig två olika fördelar:

• Hantera samlingsinställningar i stor skala samtidigt som du tillåter unika, begränsade konfigurationer för delmängder av datorer. De är oberoende av arbetsytan och oberoende av den virtuella datorn, vilket innebär att de kan definieras en gång och återanvändas mellan datorer och miljöer. Se Konfigurera datainsamling för Azure Monitor-agenten.

• Skapa anpassade filter för att välja de exakta händelser som du vill mata in. Azure Monitor-agenten använder dessa regler för att filtrera data vid källan och mata bara in de händelser du vill ha, samtidigt som allt annat lämnas kvar. Detta kan spara mycket pengar i kostnader för datainmatning!

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Viktigt!

Vissa anslutningsappar som baseras på Azure Monitor Agent (AMA) finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förutsättningar

• Du måste ha läs- och skrivbehörigheter på Microsoft Sentinel-arbetsytan.

• Om du vill samla in händelser från ett system som inte är en virtuell Azure-dator måste systemet ha Azure Arc installerat och aktiverat innan du aktiverar den Azure Monitor Agent-baserade anslutningsappen.

  Detta omfattar:

  • Windows-servrar installerade på fysiska datorer
  • Windows-servrar installerade på lokala virtuella datorer
  • Windows-servrar installerade på virtuella datorer i moln som inte är Azure

• För dataanslutningen Vidarebefordrade händelser i Windows:

  • Du måste ha Windows Event Collection (WEC) aktiverat och igång med Azure Monitor Agent installerat på WEC-datorn.
  • Vi rekommenderar att du installerar ASIM-parsarna (Advanced Security Information Model) för att säkerställa fullt stöd för datanormalisering. Du kan distribuera dessa parsers från Azure-Sentinel GitHub-lagringsplatsen med hjälp av knappen Distribuera till Azure där.

• Installera den relaterade Microsoft Sentinel-lösningen från Innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

Skapa regler för datainsamling via GUI

1. Från Microsoft Sentinel väljer du Anslutningsappar för konfigurationsdata>. Välj din anslutningsapp i listan och välj sedan Öppna anslutningssidan i informationsfönstret. Följ sedan anvisningarna på skärmen under fliken Instruktioner enligt beskrivningen i resten av det här avsnittet.

2. Kontrollera att du har rätt behörigheter enligt beskrivningen i avsnittet Krav på anslutningssidan.

3. Under Konfiguration väljer du +Lägg till datainsamlingsregel. Guiden Skapa regel för datainsamling öppnas till höger.

4. Under Grundläggande anger du ett regelnamn och anger en prenumerations- och resursgrupp där datainsamlingsregeln (DCR) skapas. Detta behöver inte vara samma resursgrupp eller prenumeration som de övervakade datorerna och deras associationer finns i, så länge de finns i samma klientorganisation.

5. På fliken Resurser väljer du +Lägg till resurser för att lägga till datorer som datainsamlingsregeln ska tillämpas på. Dialogrutan Välj ett omfång öppnas och du ser en lista över tillgängliga prenumerationer. Expandera en prenumeration för att se dess resursgrupper och expandera en resursgrupp för att se de tillgängliga datorerna. Du ser virtuella Azure-datorer och Azure Arc-aktiverade servrar i listan. Du kan markera kryssrutorna för prenumerationer eller resursgrupper för att markera alla datorer som de innehåller, eller så kan du välja enskilda datorer. Välj Använd när du har valt alla dina datorer. I slutet av den här processen installeras Azure Monitor-agenten på alla valda datorer som inte redan har den installerad.

6. På fliken Samla in väljer du de händelser som du vill samla in: välj Alla händelser eller Anpassad för att ange andra loggar eller filtrera händelser med hjälp av XPath-frågor. Ange uttryck i rutan som utvärderas till specifika XML-villkor för händelser som ska samlas in och välj sedan Lägg till. Du kan ange upp till 20 uttryck i en enda ruta och upp till 100 rutor i en regel.

   Mer information finns i Dokumentation om Azure Monitor.

   Kommentar

   • Anslutningsappen Windows-säkerhet Händelser erbjuder två andra färdiga händelseuppsättningar som du kan välja att samla in: Common och Minimal.

   • Azure Monitor-agenten stöder endast XPath-frågor för XPath version 1.0.

   Om du vill testa giltigheten för en XPath-fråga använder du PowerShell-cmdleten Get-WinEvent med parametern -FilterXPath . Till exempel:

   $XPath = '*[System[EventID=1035]]'
   Get-WinEvent -LogName 'Application' -FilterXPath $XPath
   

   • Om händelser returneras är frågan giltig.
   • Om du får meddelandet "Inga händelser hittades som matchar de angivna urvalskriterierna" kan frågan vara giltig, men det finns inga matchande händelser på den lokala datorn.
   • Om du får meddelandet "Den angivna frågan är ogiltig" är frågesyntaxen ogiltig.

7. När du har lagt till alla filteruttryck som du vill använda väljer du Nästa: Granska + skapa.

8. När du ser meddelandet Validering som skickats väljer du Skapa.

Du ser alla regler för datainsamling, inklusive de som skapats via API:et, under Konfiguration på anslutningssidan. Därifrån kan du redigera eller ta bort befintliga regler.

Skapa regler för datainsamling med hjälp av API:et

Du kan också skapa regler för datainsamling med hjälp av API:et, vilket kan göra livet enklare om du skapar många regler, till exempel om du är en MSSP. Här är ett exempel (för Windows-säkerhet Händelser via AMA-anslutningsprogram) som du kan använda som mall för att skapa en regel:

Begärande-URL och sidhuvud

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Begärandetext

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Mer information finns i:

• Regler för datainsamling (DCR) i Azure Monitor
• API-schema för datainsamlingsregler

Nästa steg

Mer information finns i:

• Microsoft Sentinel-lösningskatalog
• Integrering av hotinformation i Microsoft Sentinel