События брандмауэра Windows через соединитель AMA (предварительная версия) для Microsoft Sentinel
Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета, и блокирует потенциально опасные программы. Программное обеспечение брандмауэра блокирует взаимодействие большинства программ через брандмауэр. Для потоковой передачи журналов приложений брандмауэра Windows, собранных с компьютеров, используйте агент Azure Monitor (AMA) для потоковой передачи этих журналов в рабочую область Microsoft Sentinel.
Для сбора журналов необходимо связать настроенную конечную точку сбора данных (DCE). Для этого соединителя DCE автоматически создается в том же регионе, что и рабочая область. Если вы уже используете DCE, хранящийся в том же регионе, можно изменить созданный по умолчанию DCE и использовать существующий через API. Контроллеры домена могут находиться в ресурсах с префиксом SentinelDCE в имени ресурса.
Дополнительные сведения см. в следующих статьях:
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | ASimNetworkSessionLogs |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.