Share via

Menyambungkan Microsoft Azure Sentinel pada layanan Microsoft lainnya dengan konektor data berbasis agen Windows

  • Artikel

Artikel ini menjelaskan cara menyambungkan Microsoft Azure Sentinel ke layanan Microsoft lain dengan menggunakan koneksi berbasis agen Windows. Microsoft Azure Sentinel menggunakan dasar Azure untuk menyediakan dukungan layanan-ke-layanan bawaan untuk penyerapan data dari banyak layanan Azure dan Microsoft 365, Amazon Web Services, dan berbagai layanan Windows Server. Ada beberapa metode berbeda di mana koneksi ini dibuat.

Artikel ini menyajikan informasi yang umum untuk grup konektor data berbasis agen Windows.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Agen Azure Monitor

Beberapa konektor berdasarkan Agen Azure Monitor (AMA) saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Agen Azure Monitor saat ini hanya didukung untuk Peristiwa Keamanan Windows, Peristiwa Yang Diteruskan Windows, dan Peristiwa DNS Windows.

Agen Azure Monitor menggunakan Aturan pengumpulan data (DCR) untuk menentukan data yang akan dikumpulkan dari setiap agen. Aturan pengumpulan data menawarkan dua keuntungan berbeda:

  • Mengelola pengaturan kumpulan dalam skala besar sambil tetap mengizinkan konfigurasi unik dan tercakup untuk subset komputer. DCR independen dari ruang kerja dan independen dari komputer virtual,artinya DCR dapat ditentukan sekali dan digunakan kembali di seluruh komputer dan lingkungan. Lihat Konfigurasi pengumpulan data untuk agen Azure Monitor.

  • Membangun filter kustom untuk memilih peristiwa yang tepat yang ingin Anda serap. Agen Azure Monitor menggunakan aturan ini untuk memfilter data di sumber dan hanya menyerap peristiwa yang Anda inginkan, sambil meninggalkan segala sesuatu lainnya. Ini dapat menghemat banyak uang Anda dalam biaya penyerapan data!

Lihat di bawah cara membuat aturan pengumpulan data.

Prasyarat

  • Anda harus memiliki izin baca dan tulis di ruang kerja Microsoft Azure Sentinel.

  • Untuk mengumpulkan peristiwa dari sistem apa pun yang bukan mesin virtual Azure, sistem harus memiliki Azure Arc yang dipasang dan diaktifkan sebelum Anda mengaktifkan konektor berbasis Agen Azure Monitor.

    Drive ini termasuk:

    • Server Windows terinstal pada komputer fisik
    • Server Windows terinstal pada komputer virtual lokal
    • Server Windows dipasang pada komputer virtual di cloud non-Azure

  • Persyaratan khusus konektor data:

    Konektor data Lisensi, biaya, dan informasi lainnya
    Peristiwa Windows yang Diteruskan - Anda harus mengaktifkan dan menjalankan Windows Event Collection (WEC).
    Instal Agen Azure Monitor pada mesin WEC.
    - Sebaiknya instal pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM) untuk memastikan dukungan penuh untuk normalisasi data. Anda dapat menerapkan pengurai ini dari Azure-Sentinel repositori GitHub menggunakan tombol Sebarkan ke Azure di sana.

  • Instal solusi Microsoft Sentinel terkait dari Content Hub di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

Petunjuk

  1. Dari menu navigasi Microsoft Azure Sentinel, pilih Konektor data. Pilih konektor Anda dari daftar, lalu pilih Buka halaman konektor pada panel detail. Lalu ikuti instruksi di layar di bawah tab Instruksi, seperti yang dijelaskan di seluruh bagian ini.

  2. Verifikasi bahwa Anda memiliki izin yang sesuai seperti yang dijelaskan di bawah bagianPrasyarat pada halaman konektor.

  3. Di bawah Konfigurasi, pilih +Tambahkan aturan pengumpulan data. Wizard Membuat aturan pengumpulan data akan terbuka di sebelah kanan.

  4. Di bawahDasar-Dasar, masukkan nama Aturan dan tentukan Langganan dan Grup sumber daya tempat aturan pengumpulan data (DCR) akan dibuat. Ini tidak harus menjadi grup sumber daya yang sama atau berlangganan komputer yang dipantau dan asosiasi mereka berada, selama mereka berada di penyewa yang sama.

  5. Di tab Sumber Daya, pilih +Tambahkan sumber daya untuk menambahkan komputer yang akan diterapkan Aturan Pengumpulan Data. Dialog Pilih cakupan akan terbuka, dan Anda akan melihat daftar langganan yang tersedia. Perluas langganan untuk melihat grup sumber dayanya, dan perluas grup sumber daya untuk melihat komputer yang tersedia. Anda akan melihat komputer virtual Azure dan server aktif Azure Arc dalam daftar. Anda dapat menandai kotak centang langganan atau grup sumber daya untuk memilih semua komputer yang dimuatnya, atau Anda dapat memilih komputer individual. Pilih Terapkan saat Anda telah memilih semua komputer Anda. Pada akhir proses ini, Agen Azure Monitor akan dipasang pada setiap komputer yang dipilih yang belum memasangnya.

  6. Pada tab Kumpulkan, pilih peristiwa yang ingin Anda kumpulkan: pilih Semua peristiwa atau Kustom untuk menentukan log lain atau guna memfilter peristiwa menggunakan kueri XPath (lihat catatan di bawah). Masukkan ekspresi dalam kotak yang dievaluasi ke kriteria XML tertentu untuk peristiwa yang dikumpulkan, lalu pilih Tambahkan. Anda bisa memasukkan hingga 20 ekspresi dalam satu kotak, dan hingga 100 kotak dalam aturan.

    Pelajari selengkapnya tentang aturan pengumpulan data dari dokumentasi Azure Monitor.

    Catatan

    • Konektor Peristiwa Keamanan Windows menawarkan dua kumpulan peristiwa bawaan lainnya yang dapat Anda pilih untuk dikumpulkan: Umum dan Minimal.

    • Agen Azure Monitor mendukung kueri JalurX hanya untuk JalurX versi 1.0.

  7. Saat Anda telah menambahkan semua ekspresi filter yang Anda inginkan, pilih Berikutnya: Tinjau + buat.

  8. Saat Anda melihat pesan “Validasi berhasil”, pilih Buat.

Anda akan melihat semua aturan pengumpulan data (termasuk yang dibuat melalui API) di bawahKonfigurasi pada halaman konektor. Dari sana Anda dapat mengedit atau menghapus aturan yang ada.

Tip

Gunakan cmdlet PowerShell Get-WinEvent dengan parameter -FilterJalurX untuk menguji validitas kueri JalurX. Skrip berikut ini memperlihatkan contoh:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • Jika peristiwa ditampilkan, kueri valid.
  • Jika Anda menerima pesan Tidak ada peristiwa yang ditemukan cocok dengan kriteria seleksi yang ditentukan., kueri mungkin valid, tetapi tidak ada peristiwa yang cocok di komputer lokal.
  • Jika Anda menerima pesan Kueri yang ditentukan tidak valid , sintaksis kueri tidak valid.

Membuat aturan pengumpulan data menggunakan API

Anda juga dapat membuat aturan pengumpulan data menggunakan API (lihat skema), yang dapat membuat hidup lebih mudah jika Anda membuat banyak aturan (jika Anda seorang MSSP, misalnya). Berikut ini contoh (untuk konektor Peristiwa Keamanan Windows melalui AMA) yang dapat Anda gunakan sebagai templat untuk membuat aturan:

Permintaan URL dan header

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Badan permintaan

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Lihat deskripsi lengkap tentang aturan pengumpulan data ini dari dokumentasi Azure Monitor.

Agen Log Analytics (Warisan)

Agen Analitik Log akan dihentikan pada 31 Agustus 2024. Jika Anda menggunakan agen Log Analytics dalam penyebaran Microsoft Sentinel, kami sarankan Anda mulai merencanakan migrasi ke AMA. Untuk informasi selengkapnya, lihat Migrasi AMA untuk Microsoft Sentinel.

Prasyarat

  • Anda harus memiliki izin baca dan tulis di ruang kerja Analitik Log dan ruang kerja apa pun yang berisi mesin tempat Anda ingin mengumpulkan log.
  • Anda harus memiliki peran Kontributor Analitik Log pada solusi SecurityInsights (Microsoft Azure Sentinel) di ruang kerja tersebut, di samping peran Microsoft Azure Sentinel.

Petunjuk

  1. Dari menu navigasi Microsoft Azure Sentinel, pilih Konektor data.

  2. Pilih layanan Anda (DNS atau Windows Firewall) lalu pilih Buka halaman konektor.

  3. Pasang dan onboard agen pada perangkat yang menghasilkan log.

    Jenis komputer Petunjuk
    Untuk mesin virtual Azure Windows 1. Di bawah Pilih tempat menginstal agen, perluas Instal agen di mesin virtual Azure Windows.

    2. Pilih tautan Unduh &instal agen untuk Komputer virtual > Azure Windows.

    3. Di bilah Mesin virtual, pilih mesin virtual untuk menginstal agen, lalu pilih Sambungkan. Ulangi langkah ini untuk setiap VM yang ingin dihubungkan.
    Untuk mesin Windows lainnya 1. Di bawah Pilih tempat menginstal agen, perluas Instal agen di Mesin non Azure Windows

    2. Pilih tautan Unduh &instal agen untuk komputer Windows > non-Azure.

    3. Di bilah Manajemen Agen, pada tab server Windows, pilih tautan Unduh Agen Windows untuk sistem 32-bit atau 64-bit yang sesuai.

    4. Dengan menggunakan file yang dapat dijalankan yang diunduh, pasang agen pada sistem Windows pilihan Anda, dan konfigurasikan menggunakan Kunci dan ID Ruang Kerja yang muncul di bawah tautan unduhan pada langkah sebelumnya.

Untuk memungkinkan sistem Windows tanpa konektivitas internet yang diperlukan untuk tetap melakukan streaming acara ke Microsoft Azure Sentinel, unduh dan pasang Gateway Analitik Log di komputer terpisah, menggunakan tautan Unduh Gateway Analitik Log di halaman Manajemen Agen, untuk bertindak sebagai proksi. Anda masih perlu memasang agen Analitik Log pada setiap sistem Windows yang acaranya ingin Anda kumpulkan.

Untuk informasi selengkapnya tentang skenario ini, lihat dokumentasiGateway analitik log.

Untuk opsi penginstalan tambahan dan detail lebih lanjut, lihat dokumentasi Agen Analitik Log.

Menentukan log yang akan dikirim

Untuk konektor Windows DNS Server dan Windows Firewall, pilih tombol Pasang solusi. Untuk konektor Peristiwa Keamanan warisan, pilih kumpulan peristiwa yang ingin Anda kirim dan pilih Perbarui. Untuk informasi lebih lengkap, lihat Set acara keamanan Windows yang dapat dikirim ke Microsoft Sentinel.

Anda dapat menemukan dan membuat kueri data untuk layanan ini menggunakan nama tabel di bagiannya masing-masing di halaman Referensi konektor data.

Memecahkan masalah konektor data Windows DNS Server Anda

Jika peristiwa DNS Anda tidak muncul di Microsoft Sentinel:

  1. Pastikan log analitik DNS di server Anda diaktifkan.
  2. Pergi ke Azure DNS Analytics.
  3. Di area Konfigurasi, ubah salah satu setelan dan simpan perubahan Anda. Ubah kembali pengaturan Anda jika perlu, lalu simpan kembali perubahan Anda.
  4. Periksa Azure DNS Analytics Anda untuk memastikan bahwa peristiwa dan kueri Anda ditampilkan dengan benar.

Untuk informasi selengkapnya, lihat Kumpulkan wawasan tentang infrastruktur DNS Anda dengan solusi Pratinjau Analisis DNS.

Langkah berikutnya

Untuk informasi selengkapnya, lihat: