Łączenie usługi Microsoft Sentinel z innymi usługami firmy Microsoft za pomocą łącznika danych opartego na agencie systemu Windows

  • Artykuł

W tym artykule opisano sposób łączenia usługi Microsoft Sentinel z innymi usługi firmy Microsoft przy użyciu połączeń opartych na agencie systemu Windows. Usługa Microsoft Sentinel korzysta z podstaw platformy Azure, aby zapewnić wbudowaną obsługę usług do obsługi pozyskiwania danych z wielu usług platformy Azure i platformy Microsoft 365, usług Amazon Web Services i różnych usług systemu Windows Server. Istnieje kilka różnych metod, za pomocą których te połączenia są wykonywane.

W tym artykule przedstawiono informacje wspólne dla grupy łączników danych opartych na agentach systemu Windows.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Agent usługi Azure Monitor

Niektóre łączniki oparte na agencie usługi Azure Monitor (AMA) są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Agent usługi Azure Monitor jest obecnie obsługiwany tylko w przypadku zdarzeń Zabezpieczenia Windows, zdarzeń przekazywanych w systemie Windows i zdarzeń DNS systemu Windows.

Agent usługi Azure Monitor używa reguł zbierania danych (DCR) do definiowania danych do zbierania danych z każdego agenta. Reguły zbierania danych oferują dwie odrębne korzyści:

  • Zarządzaj ustawieniami kolekcji na dużą skalę , jednocześnie zezwalając na unikatowe konfiguracje o określonym zakresie dla podzbiorów maszyn. Są one niezależne od obszaru roboczego i niezależne od maszyny wirtualnej, co oznacza, że można je zdefiniować raz i ponownie użyć na maszynach i środowiskach. Zobacz Konfigurowanie zbierania danych dla agenta usługi Azure Monitor.

  • Twórz filtry niestandardowe, aby wybrać dokładne zdarzenia, które chcesz pozyskać. Agent usługi Azure Monitor używa tych reguł do filtrowania danych w źródle i pozyskiwania tylko żądanych zdarzeń, pozostawiając wszystkie inne elementy. Pozwala to zaoszczędzić dużo pieniędzy na kosztach pozyskiwania danych.

Poniżej przedstawiono sposób tworzenia reguł zbierania danych.

Wymagania wstępne

  • Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

  • Aby zbierać zdarzenia z dowolnego systemu, który nie jest maszyną wirtualną platformy Azure, system musi mieć zainstalowaną i włączoną usługę Azure Arc przed włączeniem łącznika opartego na agencie usługi Azure Monitor.

    Obejmuje on:

    • Serwery z systemem Windows zainstalowane na maszynach fizycznych
    • Serwery z systemem Windows zainstalowane na lokalnych maszynach wirtualnych
    • Serwery z systemem Windows zainstalowane na maszynach wirtualnych w chmurach spoza platformy Azure

  • Wymagania specyficzne dla łącznika danych:

    Łącznik danych Licencjonowanie, koszty i inne informacje
    Zdarzenia przekazywane w systemie Windows — Musisz mieć włączoną i uruchomioną funkcję Zbierania zdarzeń systemu Windows (WEC).
    Zainstaluj agenta usługi Azure Monitor na maszynie WEC.
    - Zalecamy zainstalowanie analizatorów Advanced Security Information Model (ASIM), aby zapewnić pełną obsługę normalizacji danych. Te analizatory można wdrożyć z Azure-Sentinel repozytorium GitHub przy użyciu przycisku Wdróż na platformie Azure .

  • Zainstaluj powiązane rozwiązanie usługi Microsoft Sentinel z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Instrukcje

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz łącznik z listy, a następnie wybierz pozycję Otwórz łącznik na stronie szczegółów. Następnie postępuj zgodnie z instrukcjami wyświetlanymi na ekranie na karcie Instrukcje zgodnie z opisem w pozostałej części tej sekcji.

  2. Sprawdź, czy masz odpowiednie uprawnienia zgodnie z opisem w sekcji Wymagania wstępne na stronie łącznika.

  3. W obszarze Konfiguracja wybierz pozycję +Dodaj regułę zbierania danych. Kreator tworzenia reguły zbierania danych zostanie otwarty po prawej stronie.

  4. W obszarze Podstawy wprowadź nazwę reguły i określ subskrypcję i grupę zasobów, w której zostanie utworzona reguła zbierania danych (DCR). Nie musi to być ta sama grupa zasobów ani subskrypcja monitorowanych maszyn i ich skojarzeń, o ile znajdują się w tej samej dzierżawie.

  5. Na karcie Zasoby wybierz pozycję +Dodaj zasoby , aby dodać maszyny, do których zostanie zastosowana reguła zbierania danych. Zostanie otwarte okno dialogowe Wybieranie zakresu i zostanie wyświetlona lista dostępnych subskrypcji. Rozwiń subskrypcję, aby wyświetlić jej grupy zasobów i rozwiń grupę zasobów, aby wyświetlić dostępne maszyny. Na liście zostaną wyświetlone maszyny wirtualne platformy Azure i serwery z obsługą usługi Azure Arc. Możesz zaznaczyć pola wyboru subskrypcji lub grup zasobów, aby wybrać wszystkie maszyny, które zawierają, lub wybrać poszczególne maszyny. Wybierz pozycję Zastosuj po wybraniu wszystkich maszyn. Na końcu tego procesu agent usługi Azure Monitor zostanie zainstalowany na wszystkich wybranych komputerach, które nie zostały jeszcze zainstalowane.

  6. Na karcie Zbieranie wybierz zdarzenia, które chcesz zebrać: wybierz pozycję Wszystkie zdarzenia lub Niestandardowy, aby określić inne dzienniki lub filtrować zdarzenia przy użyciu zapytań XPath (patrz uwaga poniżej). Wprowadź wyrażenia w polu, które oceniają określone kryteria XML dla zdarzeń do zbierania, a następnie wybierz pozycję Dodaj. W jednym polu można wprowadzić maksymalnie 20 wyrażeń i maksymalnie 100 pól w regule.

    Dowiedz się więcej o regułach zbierania danych z dokumentacji usługi Azure Monitor.

    Uwaga

    • Łącznik Zabezpieczenia Windows Events oferuje dwa inne wstępnie utworzone zestawy zdarzeń, które można zbierać: Wspólne i Minimalne.

    • Agent usługi Azure Monitor obsługuje tylko zapytania XPath dla programu XPath w wersji 1.0.

  7. Po dodaniu wszystkich żądanych wyrażeń filtru wybierz pozycję Dalej: Przejrzyj i utwórz.

  8. Po wyświetleniu komunikatu "Weryfikacja przekazana" wybierz pozycję Utwórz.

Zobaczysz wszystkie reguły zbierania danych (w tym reguły utworzone za pośrednictwem interfejsu API) w obszarze Konfiguracja na stronie łącznika. Z tego miejsca można edytować lub usuwać istniejące reguły.

Napiwek

Użyj polecenia cmdlet programu PowerShell Get-WinEvent z parametrem -FilterXPath, aby przetestować ważność zapytania XPath . Poniższy skrypt przedstawia przykład:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • Jeśli zwracane są zdarzenia, zapytanie jest prawidłowe.
  • Jeśli zostanie wyświetlony komunikat "Nie znaleziono zdarzeń spełniających określone kryteria wyboru", zapytanie może być prawidłowe, ale na komputerze lokalnym nie ma pasujących zdarzeń.
  • Jeśli zostanie wyświetlony komunikat "Określone zapytanie jest nieprawidłowe", składnia zapytania jest nieprawidłowa.

Tworzenie reguł zbierania danych przy użyciu interfejsu API

Możesz również utworzyć reguły zbierania danych przy użyciu interfejsu API (zobacz schemat), co może ułatwić życie, jeśli tworzysz wiele reguł (na przykład jeśli jesteś dostawcą msSP). Oto przykład (dla zdarzeń Zabezpieczenia Windows za pośrednictwem łącznika usługi AMA), którego można użyć jako szablonu do tworzenia reguły:

Adres URL żądania i nagłówek

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Treść żądania

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Zobacz ten pełny opis reguł zbierania danych z dokumentacji usługi Azure Monitor.

Agent usługi Log Analytics (starsza wersja)

Agent usługi Log Analytics zostanie wycofany 31 sierpnia 2024 r. Jeśli używasz agenta usługi Log Analytics we wdrożeniu usługi Microsoft Sentinel, zalecamy rozpoczęcie planowania migracji do usługi AMA. Aby uzyskać więcej informacji, zobacz Migracja usługi AMA dla usługi Microsoft Sentinel.

Wymagania wstępne

  • Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Log Analytics oraz dowolny obszar roboczy zawierający maszyny, z których chcesz zbierać dzienniki.
  • Oprócz ról usługi Microsoft Sentinel musisz mieć rolę Współautor usługi Log Analytics w rozwiązaniu Zabezpieczenia Szczegółowe informacje (Microsoft Sentinel).

Instrukcje

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych.

  2. Wybierz usługę (DNS lub Zaporę systemu Windows), a następnie wybierz stronę Otwórz łącznik.

  3. Zainstaluj i dołącz agenta na urządzeniu, które generuje dzienniki.

    Typ maszyny Instrukcje
    W przypadku maszyny wirtualnej z systemem Windows platformy Azure 1. W obszarze Wybierz miejsce instalacji agenta rozwiń węzeł Zainstaluj agenta na maszynie wirtualnej z systemem Windows platformy Azure.

    2. Wybierz link Pobierz i zainstaluj agenta dla maszyn wirtualnych z systemem Windows platformy > Azure.

    3. W bloku Maszyny wirtualne wybierz maszynę wirtualną do zainstalowania agenta, a następnie wybierz pozycję Połączenie. Powtórz ten krok dla każdej maszyny wirtualnej, którą chcesz nawiązać połączenie.
    W przypadku każdej innej maszyny z systemem Windows 1. W obszarze Wybierz miejsce instalacji agenta rozwiń węzeł Zainstaluj agenta na maszynie z systemem Windows spoza platformy Azure

    2. Wybierz link Pobierz i zainstaluj agenta dla maszyn z systemem Windows spoza platformy > Azure.

    3. W bloku Zarządzanie agentami na karcie Serwery z systemem Windows wybierz link Pobierz agenta systemu Windows dla systemów 32-bitowych lub 64-bitowych, odpowiednio.

    4. Korzystając z pobranego pliku wykonywalnego, zainstaluj agenta w wybranym systemie Windows i skonfiguruj go przy użyciu identyfikatora obszaru roboczego i kluczy , które są wyświetlane poniżej linków pobierania w poprzednim kroku.

Aby umożliwić systemom Windows bez konieczności łączności z Internetem przesyłanie strumieniowe zdarzeń do usługi Microsoft Sentinel, pobierz i zainstaluj bramę usługi Log Analytics na osobnej maszynie przy użyciu linku Pobierz bramę usługi Log Analytics na stronie Zarządzanie agentami, aby działać jako serwer proxy. Nadal musisz zainstalować agenta usługi Log Analytics w każdym systemie Windows, którego zdarzenia mają być zbierane.

Aby uzyskać więcej informacji na temat tego scenariusza, zobacz dokumentację bramy usługi Log Analytics.

Aby uzyskać dodatkowe opcje instalacji i szczegółowe informacje, zobacz dokumentację agenta usługi Log Analytics.

Określanie dzienników do wysłania

W przypadku łączników Windows DNS Server i Zapory systemu Windows wybierz przycisk Zainstaluj rozwiązanie . W przypadku starszego łącznika zdarzeń zabezpieczeń wybierz zestaw zdarzeń, który chcesz wysłać, i wybierz pozycję Aktualizuj. Aby uzyskać więcej informacji, zobacz Zestawy zdarzeń zabezpieczeń systemu Windows, które można wysyłać do usługi Microsoft Sentinel.

Dane tych usług można znaleźć i wykonać względem nich zapytania, korzystając z nazw tabel w odpowiednich sekcjach na stronie dokumentacji łączników danych.

Rozwiązywanie problemów z łącznikiem danych systemu Windows DNS Server

Jeśli zdarzenia DNS nie są wyświetlane w usłudze Microsoft Sentinel:

  1. Upewnij się, że dzienniki analizy DNS na serwerach są włączone.
  2. Przejdź do usługi Azure DNS Analytics.
  3. W obszarze Konfiguracja zmień dowolne ustawienia i zapisz zmiany. Zmień ustawienia z powrotem, jeśli chcesz, a następnie zapisz zmiany ponownie.
  4. Sprawdź usługę Azure DNS Analytics, aby upewnić się, że zdarzenia i zapytania są wyświetlane prawidłowo.

Aby uzyskać więcej informacji, zobacz Zbieranie szczegółowych informacji na temat infrastruktury DNS za pomocą rozwiązania w wersji zapoznawczej usługi DNS Analytics.

Następne kroki

Aby uzyskać więcej informacji, zobacz: