Microsoft Active-Directory Domain Controllers Security Event Logs-anslutningsprogram för Microsoft Sentinel
[Alternativ 3 & 4] – Använda Azure Monitor Agent – Du kan strömma en del eller alla domänkontrollanters säkerhetshändelseloggar från Windows-datorer som är anslutna till din Microsoft Sentinel-arbetsyta med hjälp av Windows-agenten. Med den här anslutningen kan du skapa anpassade aviseringar och förbättra undersökningen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
| Anslutningsattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | SecurityEvent |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Webbgrupp |
Exempel på frågor
Alla granskningsloggar
SecurityEvent
| sort by TimeGenerated
Förutsättningar
Om du vill integrera med Säkerhetshändelseloggar för Microsoft Active-Directory-domänkontrollanter kontrollerar du att du har:
- : Azure Log Analytics kommer att bli inaktuellt för att samla in data från virtuella datorer som inte är Azure, rekommenderas Azure Arc. Läs mer
- Detaljerad dokumentation: >OBS! Detaljerad dokumentation om installationsprocedur och användning finns här
Installationsanvisningar för leverantör
Kommentar
Den här lösningen baseras på alternativ. På så sätt kan du välja vilka data som ska matas in eftersom vissa alternativ kan generera en mycket stor mängd data. Beroende på vad du vill samla in, spåra i dina arbetsböcker, analysregler, jaktfunktioner väljer du de alternativ som du ska distribuera. Varje alternativ är oberoende av varandra. Mer information om varje alternativ: Wiki för Microsoft Exchange Security
Den här dataanslutningsappen är alternativ 3 och 4 i wikin.
- Ladda ned och installera de agenter som behövs för att samla in loggar för Microsoft Sentinel
Typ av servrar (Exchange-servrar, domänkontrollanter som är länkade till Exchange-servrar eller alla domänkontrollanter) beror på vilket alternativ du vill distribuera.
Säkerhetsloggar för domänkontrollanter
Välj hur du strömmar säkerhetsloggar för domänkontrollanter. Om du vill implementera alternativ 3 behöver du bara välja domänkontrollant på samma plats som Exchange-servrar. Om du vill implementera alternativ 4 kan du välja alla domänkontrollanter i din skog.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.