Connecter les événements de sécurité WindowsConnect Windows security events

Le connecteur Événements de sécurité vous permet de transmettre en continu tous les événements de sécurité de vos systèmes Windows (serveurs et stations de travail, physiques et virtuels) à votre espace de travail Azure Sentinel.The Security Events connector lets you stream all security events from your Windows systems (servers and workstations, physical and virtual) to your Azure Sentinel workspace. Cela vous permet d’afficher les événements de sécurité Windows dans vos tableaux de bord, de les utiliser pour créer des alertes personnalisées et de les utiliser pour améliorer vos investigations, ce qui vous donne plus d’informations sur le réseau de votre organisation et développe vos capacités d’opérations de sécurité.This enables you to view Windows security events in your dashboards, to use them in creating custom alerts, and to rely on them to improve your investigations, giving you more insight into your organization's network and expanding your security operations capabilities. Vous pouvez sélectionner les événements à transmettre en continu à partir des ensembles suivants : You can select which events to stream from among the following sets:

  • Tous les événements : tous les événements AppLocker et de sécurité Windows.All events - All Windows security and AppLocker events.

  • Courant : un ensemble d’événements à des fins d’audit.Common - A standard set of events for auditing purposes. Une piste d’audit utilisateur complète est fournie dans cet ensemble.A full user audit trail is included in this set. Par exemple, il contient les événements de connexion et de déconnexion de l’utilisateur (ID d’événement 4624, 4634).For example, it contains both user sign-in and user sign-out events (event IDs 4624, 4634). Il existe également des actions d’audit, telles que les modifications de groupe de sécurité, les opérations Kerberos du contrôleur de domaine clé et les autres événements alignés avec les meilleures pratiques acceptées.There are also auditing actions such as security group changes, key domain controller Kerberos operations, and other types of events in line with accepted best practices.

    L’ensemble d’événements Common peut contenir certains types d’événements qui ne sont pas si courants.The Common event set may contain some types of events that aren't so common. Cela est dû au fait que le point principal de l’ensemble Common est de réduire le volume d’événements à un niveau plus gérable, tout en conservant la fonctionnalité de piste d’audit complète.This is because the main point of the Common set is to reduce the volume of events to a more manageable level, while still maintaining full audit trail capability.

  • Minimal : un petit ensemble d’événements qui peuvent indiquer des menaces potentielles.Minimal - A small set of events that might indicate potential threats. Cet ensemble ne contient pas de piste d’audit complète.This set does not contain a full audit trail. Il couvre uniquement les événements qui peuvent indiquer une violation avérée et d’autres événements importants qui ont un taux d’occurrence très faible.It covers only events that might indicate a successful breach, and other important events that have very low rates of occurrence. Par exemple, il contient des connexions utilisateur ayant réussi et ayant échoué (ID d’événement 4624, 4625), mais il ne contient pas d’informations de déconnexion (4634), qui sont importantes pour l’audit, mais pas pour la détection de violation, et dont le volume est relativement élevé.For example, it contains successful and failed user logons (event IDs 4624, 4625), but it doesn't contain sign-out information (4634) which, while important for auditing, is not meaningful for breach detection and has relatively high volume. Le plus gros du volume de données de cet ensemble est constitué d’événements de connexion et d’événements de création de processus (ID d’événement 4688).Most of the data volume of this set is comprised of sign-in events and process creation events (event ID 4688).

  • Aucun : aucun événement AppLocker ni de sécurité.None - No security or AppLocker events. (Ce paramètre est utilisé pour désactiver le connecteur.)(This setting is used to disable the connector.)

    La liste suivante fournit le détail complet des ID d’événement App Locker et de sécurité pour chaque ensemble :The following list provides a complete breakdown of the Security and App Locker event IDs for each set:

    Ensemble d’événementsEvent set ID d’événements collectésCollected event IDs
    MinimalMinimal 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 82221102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222
    CommunCommon 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 300041, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004

Notes

La collecte des événements de sécurité dans le contexte d’un seul espace de travail peut être configurée à partir d’Azure Security Center ou d’Azure Sentinel, mais pas les deux à la fois.Security Events collection within the context of a single workspace can be configured from either Azure Security Center or Azure Sentinel, but not both. Si vous intégrez Azure Sentinel dans un espace de travail qui exécute déjà Azure Security Center et qui est défini pour collecter des événements de sécurité, vous disposez de deux options :If you are onboarding Azure Sentinel in a workspace that is already running Azure Security Center, and is set to collect Security Events, you have two options:

  • Laissez la collecte d’événements de sécurité dans Azure Security Center telle quelle.Leave the Security Events collection in Azure Security Center as is. Vous êtes alors en mesure d’interroger et d’analyser ces événements dans Azure Sentinel ainsi que dans Azure Security Center.You will be able to query and analyze these events in Azure Sentinel as well as in Azure Security Center. Toutefois, vous n’êtes pas en mesure de surveiller l’état de connectivité du connecteur ou de modifier sa configuration dans Azure Sentinel.You will not, however, be able to monitor the connector's connectivity status or change its configuration in Azure Sentinel. Si cela est important pour vous, envisagez la deuxième option.If this is important to you, consider the second option.

  • Désactivez la collecte des événements de sécurité dans Azure Security Center, puis ajoutez le connecteur Événements de sécurité dans Azure Sentinel.Disable Security Events collection in Azure Security Center, and only then add the Security Events connector in Azure Sentinel. Comme pour la première option, vous êtes en mesure d’interroger et d’analyser les événements à la fois dans Azure Sentinel et Azure Security Center. Cependant, vous pouvez maintenant surveiller l’état de connectivité du connecteur ou modifier sa configuration dans, et uniquement dans, Azure Sentinel.As with the first option, you will be able to query and analyze events in both Azure Sentinel and Azure Security Center, but you will now be able to monitor the connector's connectivity status or change its configuration in - and only in - Azure Sentinel.

Configurer le connecteur d’événements de sécurité WindowsSet up the Windows Security Events connector

Pour collecter vos événements de sécurité Windows dans Azure Sentinel :To collect your Windows security events in Azure Sentinel:

  1. Dans le menu de navigation d’Azure Sentinel, sélectionnez Connecteurs de données.From the Azure Sentinel navigation menu, select Data connectors. Dans la liste des connecteurs, cliquez sur Événements de sécurité, puis sur le bouton Ouvrir la page du connecteur dans le coin inférieur droit.From the list of connectors, click on Security Events, and then on the Open connector page button on the lower right. Suivez ensuite les instructions à l’écran sous l’onglet Instructions, comme décrit dans le reste de cette section.Then follow the on-screen instructions under the Instructions tab, as described through the rest of this section.

  2. Vérifiez que vous disposez des autorisations appropriées, comme décrit dans la section Conditions préalables.Verify that you have the appropriate permissions as described under Prerequisites.

  3. Téléchargez et installez l’agent Log Analytics (également appelé Microsoft Monitoring Agent ou MMA) sur les machines pour lesquelles vous souhaitez diffuser des événements de sécurité dans Azure Sentinel.Download and install the Log Analytics agent (also known as the Microsoft Monitoring Agent or MMA) on the machines for which you want to stream security events into Azure Sentinel.

    Pour les machines virtuelles Azure :For Azure Virtual Machines:

    1. Cliquez sur Installer l’agent sur la machine virtuelle Windows Azure, puis sur le lien qui apparaît dessous.Click on Install agent on Azure Windows Virtual Machine, and then on the link that appears below.
    2. Pour chaque machine virtuelle que vous souhaitez connecter, cliquez sur son nom dans la liste qui s’affiche à droite, puis cliquez sur Connecter.For each virtual machine that you want to connect, click on its name in the list that appears on the right, and then click Connect.

    Pour les machines Windows non-Azure (physiques, virtuelles locales ou virtuelles dans un autre cloud) :For non-Azure Windows machines (physical, virtual on-prem, or virtual in another cloud):

    1. Cliquez sur Installer l’agent sur une machine virtuelle Windows non-Azure, puis sur le lien qui apparaît dessous.Click on Install agent on non-Azure Windows Machine, and then on the link that appears below.
    2. Cliquez sur les liens de téléchargement appropriés qui s’affichent à droite, sous Ordinateurs Windows.Click on the appropriate download links that appear on the right, under Windows Computers.
    3. À l’aide du fichier exécutable téléchargé, installez l’agent sur les systèmes Windows de votre choix et configurez-le à l’aide de l’ID et des clés de l’espace de travail qui s’affichent sous les liens de téléchargement mentionnés ci-dessus.Using the downloaded executable file, install the agent on the Windows systems of your choice, and configure it using the Workspace ID and Keys that appear below the download links mentioned above.

    Notes

    Pour permettre aux systèmes Windows qui n’ont pas la connexion Internet nécessaire de diffuser en continu des événements vers Azure Sentinel, téléchargez et installez la passerelle OMS sur un ordinateur distinct, en utilisant le lien situé en bas à droite pour l’utiliser en tant que proxy.To allow Windows systems without the necessary internet connectivity to still stream events to Azure Sentinel, download and install the OMS Gateway on a separate machine, using the link on the lower right, to act as a proxy. Vous devrez toujours installer l’agent Log Analytics sur chaque système Windows dont vous souhaitez collecter les événements.You will still need to install the Log Analytics agent on each Windows system whose events you want to collect.

    Pour plus d’informations sur ce scénario, consultez la documentation relative à la passerelle Log Analytics.For more information on this scenario, see the Log Analytics gateway documentation.

    Pour obtenir des options d’installation supplémentaires et d’autres informations, consultez la documentation sur l’agent Log Analytics.For additional installation options and further details, see the Log Analytics agent documentation.

  4. Sélectionnez l’ensemble d’événements (All, Common ou Minimal) que vous souhaitez diffuser.Select which event set (All, Common, or Minimal) you want to stream.

  5. Cliquez sur Update.Click Update.

  6. Pour utiliser le schéma approprié dans Log Analytics pour les événements de sécurité Windows, saisissez SecurityEvent dans la fenêtre de requête.To use the relevant schema in Log Analytics for Windows security events, type SecurityEvent in the query window.

Valider la connectivitéValidate connectivity

Environ 20 minutes peuvent être nécessaires avant que vos journaux commencent à apparaître dans Log Analytics.It may take around 20 minutes until your logs start to appear in Log Analytics.

Configurer le connecteur Événements de sécurité pour la détection de connexion RDP anormaleConfigure the Security events connector for anomalous RDP login detection

Important

La détection de connexion Remote Desktop Protocol (RDP) anormale est actuellement en préversion publique.Anomalous RDP login detection is currently in public preview. Cette fonctionnalité est fournie sans contrat de niveau de service et est déconseillée pour les charges de travail de production.This feature is provided without a service level agreement, and it's not recommended for production workloads. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Azure Sentinel peut appliquer du Machine Learning (ML) aux données Événements de sécurité pour identifier une activité de connexion RDP anormale.Azure Sentinel can apply machine learning (ML) to Security events data to identify anomalous Remote Desktop Protocol (RDP) login activity. Il s’agit entre autres des scénarios suivants :Scenarios include:

  • IP inhabituelle : l’adresse IP a rarement ou n’a jamais été observée au cours des 30 derniers joursUnusual IP - the IP address has rarely or never been observed in the last 30 days

  • Emplacement géographique inhabituel : l’adresse IP, la ville, le pays et l’ASN ont rarement ou n’ont jamais été observés au cours des 30 derniers joursUnusual geo-location - the IP address, city, country, and ASN have rarely or never been observed in the last 30 days

  • Nouvel utilisateur : un nouvel utilisateur se connecte à partir d’une adresse IP et d’un emplacement géographique, dont les deux ou l’un des deux n’étaient pas censés être vus sur la base des données des 30 jours précédents.New user - a new user logs in from an IP address and geo-location, both or either of which were not expected to be seen based on data from the 30 days prior.

Instructions de configurationConfiguration instructions

  1. Vous devez collecter les données de connexion RDP (ID d’événement 4624) par le biais du connecteur de données Événements de sécurité.You must be collecting RDP login data (Event ID 4624) through the Security events data connector. Assurez-vous d’avoir sélectionné un jeu d’événements en plus de « Aucun » pour transmettre en continu dans Azure Sentinel.Make sure you have selected an event set besides "None" to stream into Azure Sentinel.

  2. Dans le portail Azure Sentinel, cliquez sur Analytics, puis sur l’onglet Modèles de règles. Choisissez la règle Détection de connexion RDP anormale (préversion) et déplacez le curseur État sur Activé.From the Azure Sentinel portal, click Analytics, and then click the Rule templates tab. Choose the (Preview) Anomalous RDP Login Detection rule, and move the Status slider to Enabled.

    Notes

    Comme l’algorithme de Machine Learning nécessite 30 jours de données pour établir un profil de base du comportement de l’utilisateur, vous devez autoriser la collecte de 30 jours de données Événements de sécurité avant que tout incident puisse être détecté.As the machine learning algorithm requires 30 days' worth of data to build a baseline profile of user behavior, you must allow 30 days of Security events data to be collected before any incidents can be detected.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter les événements de sécurité Windows à Azure Sentinel.In this document, you learned how to connect Windows security events to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: