Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как подключить Microsoft Sentinel к другим подключениям На основе агента Windows служб Майкрософт. Microsoft Sentinel использует агент мониторинга Azure для обеспечения встроенной поддержки приема данных из множества служб Azure, Microsoft 365, Amazon Web Services и различных служб Windows Server.
Агент монитора Azure использует правила сбора данных (DCR) для определения данных, собираемых от каждого агента. Правила сбора данных предоставляют два преимущества:
Управляйте параметрами коллекции в большом масштабе , сохраняя при этом уникальные конфигурации с заданной областью для подмножеств компьютеров. Они не зависят от рабочей области и не зависят от виртуальной машины, что означает, что их можно определить один раз и повторно использовать на разных компьютерах и средах. См. раздел Настройка сбора данных для агента мониторинга Azure.
Создайте настраиваемые фильтры , чтобы выбрать точные события, которые вы хотите принять. Агент мониторинга Azure использует эти правила для фильтрации данных в источнике и приема только нужных событий, оставляя все остальное позади. Это может сэкономить много денег на прием данных!
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в Microsoft Sentinel таблицах доступности облачных функций для клиентов из государственных организаций США.
Важно!
Некоторые соединители на основе агента мониторинга Azure (AMA) в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступной версии, см. в дополнительных условиях использования для microsoft Azure preview.
Предварительные условия
В рабочей области Microsoft Sentinel должны быть разрешения на чтение и запись.
Чтобы собирать события из любой системы, которая не является Azure виртуальной машиной, перед включением соединителя на основе агента Azure Monitor в системе должна быть установлена и включенаAzure Arc.
К ним относятся:
- Серверы Windows, установленные на физических компьютерах
- Серверы Windows, установленные на локальных виртуальных машинах
- Серверы Windows, установленные на виртуальных машинах в облаках, отличных от Azure
Для соединителя данных переадресованных событий Windows:
- На компьютере WEC должен быть включен и запущен сбор событий Windows (WEC). На компьютере WEC установлен агент мониторинга Azure.
- Мы рекомендуем установить средства синтаксического анализа расширенной информационной модели безопасности (ASIM), чтобы обеспечить полную поддержку нормализации данных. Эти средства синтаксического анализа можно развернуть из
Azure-Sentinelрепозитория GitHub с помощью кнопки Развернуть в Azure.
Установите связанное решение Microsoft Sentinel из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.
Создание правил сбора данных с помощью графического пользовательского интерфейса
В Microsoft Sentinel выберитеСоединители данных конфигурации>. Выберите соединитель в списке, а затем выберите Открыть страницу соединителя в области сведений. Затем следуйте инструкциям на экране на вкладке Инструкции , как описано в остальной части этого раздела.
Убедитесь, что у вас есть соответствующие разрешения, как описано в разделе Предварительные требования на странице соединителя.
В разделе Конфигурация выберите +Добавить правило сбора данных. Мастер создания правила сбора данных откроется справа.
В разделе Основные сведения введите имя правила и укажите подписку и группу ресурсов , в которых будет создано правило сбора данных (DCR). Это не должна быть одна и та же группа ресурсов или подписка, в которых находятся отслеживаемые компьютеры и их связи, если они находятся в одном клиенте.
На вкладке Ресурсы выберите +Добавить ресурсы , чтобы добавить компьютеры, к которым будет применяться правило сбора данных. Откроется диалоговое окно Выбор область, и вы увидите список доступных подписок. Разверните подписку, чтобы просмотреть ее группы ресурсов, и группу ресурсов, чтобы просмотреть доступные компьютеры. В списке отображаются Azure виртуальные машины и серверы с поддержкой Arc Azure. Вы можете пометить проверка полях подписок или групп ресурсов, чтобы выбрать все компьютеры, которые они содержат, или выбрать отдельные компьютеры. Выберите Применить , когда вы выбрали все компьютеры. В конце этого процесса агент Azure Monitor будет установлен на всех выбранных компьютерах, на которых он еще не установлен.
На вкладке Сбор выберите события, которые вы хотите собрать: выберите Все события или Пользовательский , чтобы указать другие журналы или отфильтровать события с помощью запросов XPath. Введите в поле выражения, которые оцениваются по определенным xml-критериям для собираемых событий, а затем нажмите кнопку Добавить. В одном поле можно ввести до 20 выражений и до 100 полей в правиле.
Дополнительные сведения см. в документации по мониторингу Azure.
Примечание.
Соединитель событий Безопасность Windows предлагает два других готовых набора событий, которые можно собрать: Общий и Минимальный.
Агент монитора Azure поддерживает запросы XPath только для XPath версии 1.0.
Чтобы проверить допустимость запроса XPath, используйте командлет PowerShell Get-WinEvent с параметром -FilterXPath . Например, вы можете:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- Если события возвращаются, запрос является допустимым.
- Если появляется сообщение "Не найдены события, которые соответствуют указанным критериям выбора", запрос может быть допустимым, но на локальном компьютере отсутствуют соответствующие события.
- Если появляется сообщение "Указанный запрос недопустим", синтаксис запроса недопустим.
После добавления всех выражений фильтра выберите Далее: Просмотр и создание.
Когда появится сообщение Проверка пройдена , нажмите кнопку Создать.
Вы увидите все правила сбора данных, в том числе созданные с помощью API, в разделе Конфигурация на странице соединителя. Оттуда можно изменять или удалять существующие правила.
Создание правил сбора данных с помощью API
Вы также можете создать правила сбора данных с помощью API, что упрощает жизнь, если вы создаете много правил, например, если вы mssp. Ниже приведен пример (для событий Безопасность Windows через соединитель AMA), который можно использовать в качестве шаблона для создания правила:
URL-адрес и заголовок запроса
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Текст запроса
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Дополнительные сведения см. в разделе:
Дальнейшие действия
Дополнительные сведения см. в указанных ниже статьях.