Conexión de Firewall de Windows Defender con seguridad avanzada a Azure SentinelConnect Windows Defender Firewall with Advanced Security to Azure Sentinel

El conector Firewall de Windows Defender con seguridad avanzada permite que Azure Sentinel ingiera de manera sencilla registros de Firewall de Windows Defender con seguridad avanzada desde cualquier máquina Windows del área de trabajo.The Windows Defender Firewall with Advanced Security connector allows Azure Sentinel to easily ingest Windows Defender Firewall with Advanced Security logs from any Windows machines in your workspace. Esta conexión le permite ver y analizar los eventos de Firewall de Windows en los libros, para usarlos en la creación de alertas personalizadas y para incorporarlos en sus investigaciones de seguridad, lo que le proporciona más información sobre la red de la organización y mejora las funcionalidades de las operaciones de seguridad.This connection enables you to view and analyze Windows Firewall events in your workbooks, to use them in creating custom alerts, and to incorporate them in your security investigations, giving you more insight into your organization’s network and improving your security operations capabilities.

La solución recopila eventos de firewall de Windows de las máquinas de Windows en las que está instalado un agente de Log Analytics.The solution collects Windows firewall events from the Windows machines on which a Log Analytics agent is installed.

Nota

  • Los datos se almacenarán en la ubicación geográfica del área de trabajo en la que Azure Sentinel se ejecute.Data will be stored in the geographic location of the workspace on which you are running Azure Sentinel.

  • Si las alertas de Azure Defender procedentes de Azure Security Center ya están recopiladas en el área de trabajo de Azure Sentinel, no es necesario habilitar la solución Firewall de Windows mediante este conector.If Azure Defender alerts from Azure Security Center are already collected to the Azure Sentinel workspace, there is no need to enable the Windows Firewall solution through this connector. Sin embargo, si la ha habilitado, no hará que se generen datos duplicados.However, if you did enable it, it will not cause duplicated data.

PrerrequisitosPrerequisites

  • Debe tener permisos de lectura y escritura en el área de trabajo a la que se conectan las máquinas que quiere supervisar.You must have read and write permissions on the workspace to which the machines you wish to monitor are connected.

  • Debe tener asignado el rol Colaborador de Log Analytics en la solución SecurityInsights de esa área de trabajo, además de cualquier rol de Azure Sentinel.You must be assigned the Log Analytics Contributor role on the SecurityInsights solution on that workspace, in addition to any Azure Sentinel roles. Más informaciónLearn more

Habilitar el conectorEnable the connector

  1. En el menú de navegación del portal de Azure Sentinel, seleccione Conectores de datos.In the Azure Sentinel portal, select Data connectors from the navigation menu.

  2. Seleccione Firewall de Windows en la galería de conectores y haga clic en Open connector page (Open connector page).Select Windows Firewall from the connectors gallery and click Open connector page.

Pestaña InstruccionesInstructions tab

  • Si las máquinas Windows están en Azure:If your Windows machines are in Azure:

    1. Seleccione Install agent on Azure Windows Virtual Machine (Instalar el agente en la máquina virtual Windows de Azure).Select Install agent on Azure Windows Virtual Machine.

    2. Haga clic en el vínculo Download & install agent for Azure Windows Virtual machines > (Descargar e instalar el agente para máquinas virtuales Windows de Azure >) que aparece.Click the Download & install agent for Azure Windows Virtual machines > link that appears.

    3. En la lista Máquinas virtuales, seleccione la máquina Windows que quiera transmitir a Azure Sentinel.In the Virtual machines list, select the Windows machine you want to stream into Azure Sentinel. (Puede seleccionar Windows en el filtro de la columna de SO para asegurarse de que solo se muestran las máquinas virtuales Windows).(You can select Windows in the OS column filter to ensure that only Windows VMs are displayed).

    4. En la ventana de la máquina virtual que se abre, haga clic en Connect(Conectar).In the window that opens for that VM, click Connect.

    5. Vuelva al panel Virtual Machines (Máquinas virtuales) y repita los dos pasos anteriores para las demás máquinas virtuales que quiere conectar.Return to the Virtual Machines pane and repeat the previous two steps for any other VMs you want to connect. Cuando haya terminado, vuelva al panel Firewall de Windows.When you're done, return to the Windows Firewall pane.

  • Si la máquina Windows no es una máquina virtual de Azure:If your Windows machine is not an Azure VM:

    1. Seleccione Install agent on non-Azure Windows Machine (Instalar el agente en la máquina virtual Windows que no es de Azure).Select Install agent on non-Azure Windows Machine.

    2. Haga clic en el vínculo Download & install agent for non-Azure Windows Virtual machines > (Descargar e instalar el agente para máquinas virtuales Windows que no son de Azure >) que aparece.Click the Download & install agent for non-Azure Windows machines > link that appears.

    3. En el panel Agents management (Administración de agentes), seleccione Download Windows Agent (64 bit) (Descargar agente de Windows [64 bits]) o Download Windows Agent (32 bit) (Descargar agente de Windows [32 bits]), según sea necesario.In the Agents management pane, select either Download Windows Agent (64 bit) or Download Windows Agent (32 bit), as needed.

    4. Copie las cadenas Id. de área de trabajo, Clave principal y Clave secundaria en un archivo de texto.Copy the Workspace ID, Primary key, and Secondary key strings to a text file. Copie ese archivo y el archivo de instalación descargado en la máquina Windows.Copy that file and the downloaded installation file to your Windows machine. Ejecute el archivo de instalación y, cuando se lo solicite, escriba las cadenas clave y el id. en el archivo de texto durante la instalación.Run the installation file, and when prompted, enter the ID and key strings in the text file during the installation.

    5. Vuelva al panel Firewall de Windows.Return to the Windows Firewall pane.

  1. Haga clic en Install solution (Instalar solución).Click Install solution.

Pestaña Pasos siguientesNext steps tab

  • Consulte los libros y ejemplos de consultas disponibles recomendados que se incluyen en el conector de datos Firewall de Windows para obtener información sobre los datos de registro de Firewall de Windows.See the available recommended workbooks and query samples bundled with the Windows Firewall data connector to get insight into your Windows Firewall log data.

  • Para consultar datos de Firewall de Windows en Registros, escriba WindowsFirewall en la ventana de consulta.To query Windows firewall data in Logs, type WindowsFirewall in the query window.

Validar conectividadValidate connectivity

Dado que los registros del Firewall de Windows se envían a Azure Sentinel solo cuando el archivo de registro local alcanza la capacidad, lo más probable es que dejar el registro con su tamaño predeterminado de 4096 KB genere una latencia de colección alta.Because Windows Firewall logs are sent to Azure Sentinel only when the local log file reaches capacity, leaving the log at its default size of 4096 KB will most likely result in high collection latency. Puede reducir la latencia si reduce el tamaño del archivo de registro.You can lower the latency by lowering the log file size. Consulte las instrucciones para configurar el registro de Firewall de Windows.See the instructions to configure the Windows Firewall log. Tenga en cuenta que definir el tamaño mínimo posible del registro (1 KB) prácticamente eliminará la latencia de la colección y también podría afectar negativamente el rendimiento de la máquina local.Note that while defining the minimum possible log size (1 KB) will virtually eliminate collection latency, it might also negatively impact the local machine's performance.

Pasos siguientesNext steps

En este documento, ha aprendido a conectar Firewall de Windows a Azure Sentinel.In this document, you learned how to connect Windows firewall to Azure Sentinel. Para más información sobre Azure Sentinel, consulte los siguientes artículos:To learn more about Azure Sentinel, see the following articles: