Planera för Windows-värdar för anslutningsprogram för säkerhetshändelser
Du har tre alternativ för anslutningsprogram för Windows-säkerhetshändelser för att strömma händelser från Windows-enheter till Microsoft Sentinel.
Baserat på organisationens krav har du möjlighet att installera en agent på varje Windows-enhet för att vidarebefordra händelser till Microsoft Sentinel. Det finns två tillgängliga agenter:
- Windows-säkerhet händelser via AMA-Anslut eller
- Säkerhetshändelser via äldre agent Anslut eller
Det andra alternativet är att konfigurera en Windows Event Collector-enhet för att ta emot händelser från Windows-enheterna. Windows Event Collector-enheten vidarebefordrar sedan händelser till Microsoft Sentinel med anslutningsappen Vidarebefordrade händelser i Windows.
Windows-säkerhet händelser via AMA Anslut eller eller säkerhetshändelser via äldre agent Anslut eller
Windows-säkerhet-händelser via AMA-Anslut eller har följande skillnader från säkerhetshändelser via äldre agent Anslut eller:
Fördelar:
- Hantera samlingsinställningar i stor skala
- Azure Monitoring Agent delas med andra lösningar
- Prestandaförbättringar
- Förbättringar av säkerhet
Begränsningar:
- Azure Monitor-agenten släpps som förhandsversion och stöds med CSPM-planen och Microsoft Defender för servrar plan 2.
Krav:
- icke-Azure VM:s/enheter kräver Azure Arc.
Azure Arc
Azure Arc är en agent installerad på enheten eller den virtuella datorn som gör att enheten kan hanteras på samma sätt som en virtuell Azure-dator. Azure Arc tillhandahåller andra funktioner, inklusive att köra Azure-baserade tjänster i en hybridmiljö.