Microsoft Sentinel verbinden met andere Microsoft-services met een gegevensconnector op basis van een Windows-agent
In dit artikel wordt beschreven hoe u Microsoft Sentinel verbindt met andere Microsoft-services met behulp van op een Windows-agent gebaseerde verbindingen. Microsoft Sentinel maakt gebruik van de Azure-basis om ingebouwde, service-naar-service-ondersteuning te bieden voor gegevensopname van veel Azure- en Microsoft 365-services, Amazon Web Services en verschillende Windows Server-services. Er zijn verschillende methoden waarmee deze verbindingen worden gemaakt.
Dit artikel bevat informatie die gebruikelijk is voor de groep gegevensconnectors op basis van Windows-agents.
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
Azure Monitor-agent
Sommige connectors op basis van de Azure Monitor-agent (AMA) zijn momenteel beschikbaar als PREVIEW-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
De Azure Monitor-agent wordt momenteel alleen ondersteund voor Windows-beveiliging gebeurtenissen, door Windows doorgestuurde gebeurtenissen en Windows DNS-gebeurtenissen.
De Azure Monitor-agent maakt gebruik van regels voor gegevensverzameling (DCR's) om de gegevens te definiëren die van elke agent moeten worden verzameld. Regels voor gegevensverzameling bieden twee verschillende voordelen:
Beheer verzamelingsinstellingen op schaal terwijl u nog steeds unieke, bereikconfiguraties toestaat voor subsets van machines. Ze zijn onafhankelijk van de werkruimte en onafhankelijk van de virtuele machine, wat betekent dat ze eenmaal kunnen worden gedefinieerd en opnieuw kunnen worden gebruikt voor alle machines en omgevingen. Zie Gegevensverzameling configureren voor de Azure Monitor-agent.
Bouw aangepaste filters om de exacte gebeurtenissen te kiezen die u wilt opnemen. De Azure Monitor-agent gebruikt deze regels om de gegevens in de bron te filteren en alleen de gewenste gebeurtenissen op te nemen, terwijl alles achterblijft. Dit kan u veel geld besparen in gegevensopnamekosten!
Zie hieronder hoe u regels voor gegevensverzameling maakt.
Vereisten
U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.
Als u gebeurtenissen wilt verzamelen van een systeem dat geen virtuele Azure-machine is, moet Azure Arc zijn geïnstalleerd en ingeschakeld voordat u de azure Monitor Agent-connector inschakelt.
Dit zijn onder andere de nieuwe mogelijkheden:
- Windows-servers geïnstalleerd op fysieke machines
- Windows-servers geïnstalleerd op on-premises virtuele machines
- Windows-servers geïnstalleerd op virtuele machines in niet-Azure-clouds
Specifieke vereisten voor gegevensconnector:
Gegevensconnector Licentieverlening, kosten en andere informatie Door Windows doorgestuurde gebeurtenissen - U moet Windows Event Collection (WEC) hebben ingeschakeld en uitgevoerd.
Installeer de Azure Monitor-agent op de WEC-machine.
- We raden u aan de ASIM-parsers (Advanced Security Information Model) te installeren om volledige ondersteuning te garanderen voor gegevensnormalisatie. U kunt deze parsers implementeren vanuit deAzure-SentinelGitHub-opslagplaats met behulp van de knop Implementeren in Azure daar.Installeer de gerelateerde Microsoft Sentinel-oplossing vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.
Instructies
Selecteer gegevensconnectors in het navigatiemenu van Microsoft Sentinel. Selecteer de connector in de lijst en selecteer vervolgens de pagina Connector openen in het detailvenster. Volg vervolgens de instructies op het scherm onder het tabblad Instructies , zoals beschreven in de rest van deze sectie.
Controleer of u over de juiste machtigingen beschikt, zoals beschreven in de sectie Vereisten op de connectorpagina.
Selecteer onder Configuratie de optie +Regel voor gegevensverzameling toevoegen. De wizard Gegevensverzamelingsregel maken wordt aan de rechterkant geopend.
Voer onder Basisinformatie een regelnaam in en geef een abonnement en resourcegroep op waarin de regel voor gegevensverzameling (DCR) wordt gemaakt. Dit hoeft niet dezelfde resourcegroep of hetzelfde abonnement te zijn op de bewaakte machines en de bijbehorende koppelingen, zolang ze zich in dezelfde tenant bevinden.
Selecteer op het tabblad Resources de optie +Resource(s) toevoegen om machines toe te voegen waarop de regel voor gegevensverzameling van toepassing is. Het dialoogvenster Een bereik selecteren wordt geopend en u ziet een lijst met beschikbare abonnementen. Vouw een abonnement uit om de resourcegroepen te bekijken en vouw een resourcegroep uit om de beschikbare machines te zien. U ziet virtuele Azure-machines en servers met Azure Arc in de lijst. U kunt de selectievakjes van abonnementen of resourcegroepen markeren om alle computers te selecteren die ze bevatten, of u kunt afzonderlijke machines selecteren. Selecteer Toepassen wanneer u al uw computers hebt gekozen. Aan het einde van dit proces wordt de Azure Monitor-agent geïnstalleerd op alle geselecteerde computers waarop deze nog niet is geïnstalleerd.
Kies op het tabblad Verzamelen de gebeurtenissen die u wilt verzamelen: selecteer Alle gebeurtenissen of Aangepast om andere logboeken op te geven of om gebeurtenissen te filteren met behulp van XPath-query's (zie hieronder). Voer expressies in het vak in waarmee specifieke XML-criteria worden geëvalueerd voor gebeurtenissen die moeten worden verzameld en selecteer vervolgens Toevoegen. U kunt maximaal 20 expressies invoeren in één vak en maximaal 100 vakken in een regel.
Meer informatie over regels voor het verzamelen van gegevens vindt u in de Documentatie van Azure Monitor.
Notitie
De Windows-beveiliging Events Connector biedt twee andere vooraf gebouwde gebeurtenissets die u kunt verzamelen: Algemeen en Minimaal.
De Azure Monitor-agent ondersteunt alleen XPath-query's voor XPath-versie 1.0.
Wanneer u alle gewenste filterexpressies hebt toegevoegd, selecteert u Volgende: Controleren en maken.
Wanneer u het bericht Validatie geslaagd ziet, selecteert u Maken.
U ziet al uw regels voor het verzamelen van gegevens (inclusief regels die zijn gemaakt via de API) onder Configuratie op de connectorpagina. Hier kunt u bestaande regels bewerken of verwijderen.
Tip
Gebruik de PowerShell-cmdlet Get-WinEvent met de parameter -FilterXPath om de geldigheid van een XPath-query te testen. In het volgende script ziet u een voorbeeld:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- Als er gebeurtenissen worden geretourneerd, is de query geldig.
- Als u het bericht 'Er zijn geen gebeurtenissen gevonden die voldoen aan de opgegeven selectiecriteria' wordt weergegeven, is de query mogelijk geldig, maar er zijn geen overeenkomende gebeurtenissen op de lokale computer.
- Als u het bericht 'De opgegeven query is ongeldig' ontvangt, is de syntaxis van de query ongeldig.
Regels voor gegevensverzameling maken met behulp van de API
U kunt ook regels voor gegevensverzameling maken met behulp van de API (zie schema), waardoor u eenvoudiger kunt werken als u veel regels maakt (als u bijvoorbeeld een MSSP bent). Hier volgt een voorbeeld (voor de Windows-beveiliging Gebeurtenissen via AMA-connector) die u kunt gebruiken als sjabloon voor het maken van een regel:
Aanvraag-URL en header
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
Aanvraagbody
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Bekijk deze volledige beschrijving van regels voor het verzamelen van gegevens uit de Documentatie van Azure Monitor.
Log Analytics-agent (verouderd)
De Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld. Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie gebruikt, raden we u aan uw migratie naar de AMA te plannen. Zie AMA-migratie voor Microsoft Sentinel voor meer informatie.
Vereisten
- U moet lees- en schrijfmachtigingen hebben voor de Log Analytics-werkruimte en alle werkruimten met computers van waaruit u logboeken wilt verzamelen.
- U moet de rol Log Analytics-inzender hebben in de oplossing SecurityInsights (Microsoft Sentinel) voor deze werkruimten, naast eventuele Microsoft Sentinel-rollen.
Instructies
Selecteer gegevensconnectors in het navigatiemenu van Microsoft Sentinel.
Selecteer uw service (DNS of Windows Firewall) en selecteer vervolgens de pagina Connector openen.
Installeer en onboard de agent op het apparaat dat de logboeken genereert.
Type computer Instructies Voor een Virtuele Azure Windows-machine 1. Vouw onder Kiezen waar de agent moet worden geïnstalleerd, de installatieagent uit op de virtuele Machine van Azure Windows.
2. Selecteer de koppeling Download & install-agent voor virtuele Azure Windows-machines > .
3. Selecteer op de blade Virtuele machines een virtuele machine waarop u de agent wilt installeren en selecteer vervolgens Verbinding maken. Herhaal deze stap voor elke VIRTUELE machine die u wilt verbinden.Voor elke andere Windows-computer 1. Vouw onder Kiezen waar u de agent wilt installeren de agent uit op niet-Azure Windows Machine
2. Selecteer de koppeling Download & install-agent voor niet-Azure Windows-machines > .
3. Selecteer op de blade Agents-beheer op het tabblad Windows-servers de koppeling Windows Agent downloaden voor 32-bits of 64-bits systemen, indien van toepassing.
4. Installeer met behulp van het gedownloade uitvoerbare bestand de agent op de Windows-systemen van uw keuze en configureer deze met behulp van de werkruimte-id en sleutels die onder de downloadkoppelingen in de vorige stap worden weergegeven.
Als u Windows-systemen zonder de benodigde internetverbinding wilt toestaan om nog steeds gebeurtenissen naar Microsoft Sentinel te streamen, downloadt en installeert u de Log Analytics-gateway op een afzonderlijke computer, met behulp van de koppeling Log Analytics Gateway downloaden op de pagina Agents-beheer , om als proxy te fungeren. U moet de Log Analytics-agent nog steeds installeren op elk Windows-systeem waarvan u gebeurtenissen wilt verzamelen.
Zie de documentatie van de Log Analytics-gateway voor meer informatie over dit scenario.
Zie de documentatie van de Log Analytics-agent voor aanvullende installatieopties en meer informatie.
De logboeken bepalen die moeten worden verzonden
Voor de Windows DNS Server- en Windows Firewall-connectors selecteert u de knop Oplossing installeren. Kies voor de verouderde connector voor beveiligingsevenementen de gebeurtenisset die u wilt verzenden en selecteer Bijwerken. Zie Windows-beveiligingsevenementensets die naar Microsoft Sentinel kunnen worden verzonden voor meer informatie.
U kunt de gegevens voor deze services zoeken en er query's op uitvoeren met behulp van de tabelnamen in hun respectieve secties op de referentiepagina voor gegevensconnectors.
Problemen met uw Windows DNS Server-gegevensconnector oplossen
Als uw DNS-gebeurtenissen niet worden weergegeven in Microsoft Sentinel:
- Zorg ervoor dat DNS-analyselogboeken op uw servers zijn ingeschakeld.
- Ga naar Azure DNS Analytics.
- Wijzig in het gebied Configuratie een van de instellingen en sla de wijzigingen op. Wijzig de instellingen zo nodig opnieuw en sla de wijzigingen opnieuw op.
- Controleer uw Azure DNS Analytics om ervoor te zorgen dat uw gebeurtenissen en query's correct worden weergegeven.
Zie Inzichten verzamelen over uw DNS-infrastructuur met de DNS Analytics Preview-oplossing voor meer informatie.
Volgende stappen
Zie voor meer informatie: