你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Azure 虚拟桌面数据连接到 Microsoft Sentinel
本文介绍如何使用 Microsoft Sentinel 监视 Azure 虚拟桌面环境。
例如,通过监视 Azure 虚拟桌面环境,你可以使用虚拟化桌面提供更多远程工作,同时还能维护组织的安全状态。
Microsoft Sentinel 中的 Azure 虚拟桌面数据
Microsoft Sentinel 中的 Azure 虚拟桌面数据包括以下类型:
| 数据 | 说明 |
|---|---|
| Windows 事件日志 | 对于 Azure 虚拟桌面环境中的 windows 事件日志,它会采用与其他 Windows 计算机(位于 Azure 虚拟桌面环境外)上的 Windows 事件日志相同的方式流入已启用 Microsoft Sentinel 的 Log Analytics 工作区。 将 Azure Monitor 代理安装到 Windows 计算机上,并配置要发送到 Log Analytics 工作区的 Windows 事件日志。 有关详细信息,请参阅: - 使用客户端安装程序在 Windows 客户端设备上安装 Azure Monitor 代理 - 使用 Azure Monitor 代理收集 Windows 事件 - 适用于 Microsoft Sentinel 的 Windows Security Events via AMA 连接器 |
| Microsoft Defender for Endpoint 警报 | 若要为 Azure 虚拟桌面配置 Defender for Endpoint,请使用与其他任何 Windows 终结点相同的配置过程。 有关详细信息,请参阅。 - 设置 Microsoft Defender for Endpoint 部署 - 将 Microsoft Defender XDR 中的数据连接到 Microsoft Sentinel |
| Azure 虚拟桌面诊断 | Azure 虚拟桌面诊断是 Azure 虚拟桌面 PaaS 服务的一个功能,每当分配 Azure 虚拟桌面角色的用户使用此服务时,PaaS 服务都会记录信息。 每个日志都包含有关活动中涉及的 Azure 虚拟桌面角色的信息,还包括在会话过程中出现的任何错误消息,以及租户信息和用户信息。 诊断功能用于为用户和管理操作创建活动日志。 有关详细信息,请参阅在 Azure 虚拟桌面中使用 Log Analytics 诊断功能。 |
连接 Azure 虚拟桌面数据
若要开始将 Azure 虚拟桌面数据引入 Microsoft Sentinel,请使用 Azure 虚拟桌面文档中的说明。
有关详细信息,请参阅将 Azure 虚拟桌面数据推送到 Log Analytics 工作区。
查找数据
成功建立连接后,请根据 Log Analytics 数据在 Microsoft Sentinel 中运行查询。
例如,请参阅 Azure 虚拟桌面文档中的查询示例。
Microsoft Sentinel 还会在“常规”>“日志”>“Azure 虚拟桌面”区域提供内置查询 :
后续步骤
有关详细信息,请参阅适用于 Azure 虚拟桌面的 Azure Monitor 术语表。