Anslut med hjälp av säkerhetshändelser via äldre agent Anslut eller

  • 3 minuter

Med anslutningsappen Säkerhetshändelser via äldre agent kan du strömma alla säkerhetshändelser från dina Windows-system (servrar och arbetsstationer, fysiska och virtuella) till din Microsoft Sentinel-arbetsyta. På så sätt kan du visa Windows-säkerhetshändelser i dina instrumentpaneler, använda dem för att skapa anpassade aviseringar och förlita dig på dem för att förbättra dina undersökningar. Nu har du mer insikt i organisationens nätverk och utökar dina säkerhetsfunktioner. Du kan välja vilka händelser som ska strömmas bland följande uppsättningar:

  • Alla händelser – Alla Windows-säkerhets- och AppLocker-händelser.

  • Common – En standarduppsättning händelser för granskningsändamål. En fullständig spårningslogg för användare ingår i den här uppsättningen. Den innehåller till exempel både händelser för användarinloggning och utloggning av användare (händelse-ID:t 4624, 4634). Det finns också granskningsåtgärder som ändringar i säkerhetsgrupper, kerberos-åtgärder för nyckeldomänkontrollanter och andra typer av händelser i enlighet med god praxis.

  • Common-händelseuppsättningen kan innehålla vissa typer av händelser som inte är så vanliga. Det beror på att huvudpunkten i Common-uppsättningen är att minska antalet händelser till en mer hanterbar nivå samtidigt som du behåller fullständig spårningsspårningsfunktion.

  • Minimal – en liten uppsättning händelser som kan tyda på potentiella hot. Den här uppsättningen innehåller inte en fullständig spårningslogg. Den omfattar endast händelser som kan tyda på en lyckad överträdelse och andra viktiga händelser med låg förekomstfrekvens. Den innehåller till exempel lyckade och misslyckade användarinloggningar (händelse-ID:t 4624, 4625). Ändå innehåller den inte utloggningsinformation (4634), som, även om den är viktig för granskning, inte är meningsfull för identifiering av intrång och har en relativt hög volym. Merparten av den här uppsättningens datavolym består av inloggningshändelser och processskapandehändelser (händelse-ID 4688).

  • Ingen – Inga säkerhets- eller AppLocker-händelser. (Den här inställningen används för att inaktivera anslutningsappen.)

Screenshot of the Security Events Connector Page.

Anslut virtuella Azure Windows-datorer

Så här visar du anslutningssidan:

  1. Välj sidan Dataanslutningar.

  2. Välj Säkerhetshändelser.

  3. Välj sedan sidan Öppna anslutningsapp i förhandsgranskningsfönstret.

  4. Kontrollera att du har rätt behörigheter enligt beskrivningen under Krav.

  5. Välj Installera agent på Azure Windows Virtual Machine och sedan på länken som visas nedan.

  6. För varje virtuell dator som du vill ansluta väljer du dess namn i listan som visas till höger och väljer sedan Anslut.

  7. Välj vilken händelseuppsättning (Alla, Gemensam eller Minimal) som du vill strömma.

  8. Välj Verkställ ändringar.

Anslut Windows-datorer som inte är azure-datorer

Så här visar du anslutningssidan:

  1. Välj sidan Dataanslutningar .

  2. Välj Säkerhetshändelser.

  3. Välj sedan sidan Öppna anslutningsapp i förhandsgranskningsfönstret.

  4. Kontrollera att du har rätt behörigheter enligt beskrivningen under Krav.

  5. Välj Installera agent på en annan Windows-dator än Azure och sedan på länken som visas nedan.

  6. Välj lämpliga nedladdningslänkar som visas till höger under Windows-datorer.

  7. Med hjälp av den nedladdade körbara filen installerar du agenten på de Windows-system som du väljer och konfigurerar den med hjälp av arbetsytans ID och nycklar som visas under nedladdningslänkarna som nämns ovan.

  8. Välj vilken händelseuppsättning (Alla, Gemensam eller Minimal) som du vill strömma.

  9. Välj Verkställ ändringar.

Screenshot of the Log Analytics agent download.