Połącz zaporę Windows Defender z zabezpieczeniami zaawansowanymi z platformą Azure — wskaźnikiemConnect Windows Defender Firewall with Advanced Security to Azure Sentinel

Łącznik zapory Windows Defender z zabezpieczeniami Advanced Security umożliwia korzystanie z platformy Azure do łatwego pozyskiwania zapory Windows Defender z zaawansowanymi dziennikami zabezpieczeń z dowolnego komputera z systemem Windows w obszarze roboczym.The Windows Defender Firewall with Advanced Security connector allows Azure Sentinel to easily ingest Windows Defender Firewall with Advanced Security logs from any Windows machines in your workspace. To połączenie umożliwia wyświetlanie i analizowanie zdarzeń zapory systemu Windows w skoroszytach, używanie ich w tworzeniu niestandardowych alertów i wprowadzanie ich w celu zapewnienia bezpieczeństwa, dzięki czemu możesz uzyskać więcej informacji o sieci organizacji i zwiększyć możliwości operacji związanych z bezpieczeństwem.This connection enables you to view and analyze Windows Firewall events in your workbooks, to use them in creating custom alerts, and to incorporate them in your security investigations, giving you more insight into your organization’s network and improving your security operations capabilities.

Rozwiązanie zbiera zdarzenia Zapory systemu Windows z maszyn z systemem Windows, na których zainstalowano agenta Log Analytics.The solution collects Windows firewall events from the Windows machines on which a Log Analytics agent is installed.

Uwaga

  • Dane będą przechowywane w lokalizacji geograficznej obszaru roboczego, w którym jest uruchamiany wskaźnik platformy Azure.Data will be stored in the geographic location of the workspace on which you are running Azure Sentinel.

  • Jeśli alerty usługi Azure Defender z Azure Security Center są już zbierane do obszaru roboczego wskaźnikowego platformy Azure, nie ma potrzeby włączania rozwiązania Zapora systemu Windows za pośrednictwem tego łącznika.If Azure Defender alerts from Azure Security Center are already collected to the Azure Sentinel workspace, there is no need to enable the Windows Firewall solution through this connector. Jeśli jednak go włączysz, nie spowoduje to duplikowania danych.However, if you did enable it, it will not cause duplicated data.

Wymagania wstępnePrerequisites

  • Użytkownik musi mieć uprawnienia do odczytu i zapisu w obszarze roboczym, w którym są połączone maszyny, które mają być monitorowane.You must have read and write permissions on the workspace to which the machines you wish to monitor are connected.

  • Musisz mieć przypisaną rolę Współautora log Analytics w rozwiązaniu SecurityInsights w tym obszarze roboczym, oprócz ról wskaźnikowych platformy Azure .You must be assigned the Log Analytics Contributor role on the SecurityInsights solution on that workspace, in addition to any Azure Sentinel roles. Dowiedz się więcejLearn more

Włącz łącznikEnable the connector

  1. W portalu wskaźnikowym platformy Azure wybierz pozycję Łączniki danych z menu nawigacji.In the Azure Sentinel portal, select Data connectors from the navigation menu.

  2. Wybierz opcję Zapora systemu Windows w galerii łączników, a następnie kliknij przycisk Otwórz stronę łącznika.Select Windows Firewall from the connectors gallery and click Open connector page.

Karta instrukcjeInstructions tab

  • Jeśli maszyny z systemem Windows znajdują się na platformie Azure:If your Windows machines are in Azure:

    1. Wybierz pozycję Zainstaluj agenta na maszynie wirtualnej platformy Azure systemu Windows.Select Install agent on Azure Windows Virtual Machine.

    2. Kliknij link pobierz & Zainstaluj agenta dla maszyn wirtualnych systemu Azure Windows > .Click the Download & install agent for Azure Windows Virtual machines > link that appears.

    3. Na liście maszyny wirtualne wybierz maszynę z systemem Windows, która ma zostać przesłana do usługi Azure wskaźnikowej.In the Virtual machines list, select the Windows machine you want to stream into Azure Sentinel. (Możesz wybrać okna w filtrze kolumn systemu operacyjnego, aby upewnić się, że są wyświetlane tylko maszyny wirtualne z systemem Windows).(You can select Windows in the OS column filter to ensure that only Windows VMs are displayed).

    4. W oknie otwartym dla tej maszyny wirtualnej kliknij pozycję Połącz.In the window that opens for that VM, click Connect.

    5. Wróć do okienka Virtual Machines i Powtórz dwa poprzednie kroki dla innych maszyn wirtualnych, które chcesz połączyć.Return to the Virtual Machines pane and repeat the previous two steps for any other VMs you want to connect. Gdy skończysz, Wróć do okienka Zapora systemu Windows .When you're done, return to the Windows Firewall pane.

  • Jeśli maszyna z systemem Windows nie jest maszyną wirtualną platformy Azure:If your Windows machine is not an Azure VM:

    1. Wybierz pozycję Zainstaluj agenta na komputerze spoza systemu Windows.Select Install agent on non-Azure Windows Machine.

    2. Kliknij link pobierz & Zainstaluj agenta dla maszyn nienależących do platformy Azure z systemem Windows > .Click the Download & install agent for non-Azure Windows machines > link that appears.

    3. W okienku Zarządzanie agentami wybierz opcję Pobierz agenta systemu Windows (64 bit) lub pobierz agenta systemu Windows (32 bit), zgodnie z wymaganiami.In the Agents management pane, select either Download Windows Agent (64 bit) or Download Windows Agent (32 bit), as needed.

    4. Skopiuj ciągi identyfikatora obszaru roboczego, klucza podstawowego i klucza pomocniczego do pliku tekstowego.Copy the Workspace ID, Primary key, and Secondary key strings to a text file. Skopiuj ten plik i pobrany plik instalacyjny na komputer z systemem Windows.Copy that file and the downloaded installation file to your Windows machine. Uruchom plik instalacyjny i po wyświetleniu monitu wprowadź identyfikator i ciągi klucza w pliku tekstowym podczas instalacji.Run the installation file, and when prompted, enter the ID and key strings in the text file during the installation.

    5. Wróć do okienka Zapora systemu Windows .Return to the Windows Firewall pane.

  1. Kliknij przycisk Zainstaluj rozwiązanie.Click Install solution.

Karta następne krokiNext steps tab

  • Zobacz dostępne zalecane skoroszyty i przykłady zapytań powiązane z łącznikiem danych zapory systemu Windows , aby uzyskać wgląd w dane dziennika zapory systemu Windows.See the available recommended workbooks and query samples bundled with the Windows Firewall data connector to get insight into your Windows Firewall log data.

  • Aby zbadać dane zapory systemu Windows w dziennikach, wpisz WindowsFirewall w oknie zapytania.To query Windows firewall data in Logs, type WindowsFirewall in the query window.

Sprawdź poprawność łącznościValidate connectivity

Ze względu na to, że Dzienniki zapory systemu Windows są wysyłane do usługi Azure wskaźnikowej tylko wtedy, gdy lokalny plik dziennika osiągnie pojemność, pozostawienie dziennika o rozmiarze domyślnym 4096 KB najprawdopodobniej spowoduje opóźnienie dużej kolekcji.Because Windows Firewall logs are sent to Azure Sentinel only when the local log file reaches capacity, leaving the log at its default size of 4096 KB will most likely result in high collection latency. Opóźnienie można obniżyć przez zmniejszenie rozmiaru pliku dziennika.You can lower the latency by lowering the log file size. Zapoznaj się z instrukcjami dotyczącymi konfigurowania dziennika zapory systemu Windows.See the instructions to configure the Windows Firewall log. Należy pamiętać, że podczas definiowania minimalnego możliwego rozmiaru dziennika (1 KB) praktycznie eliminuje opóźnienie kolekcji, może to mieć negatywny wpływ na wydajność maszyny lokalnej.Note that while defining the minimum possible log size (1 KB) will virtually eliminate collection latency, it might also negatively impact the local machine's performance.

Następne krokiNext steps

W tym dokumencie przedstawiono sposób łączenia zapory systemu Windows z wskaźnikiem kontrolnym platformy Azure.In this document, you learned how to connect Windows firewall to Azure Sentinel. Aby dowiedzieć się więcej na temat platformy Azure, zobacz następujące artykuły:To learn more about Azure Sentinel, see the following articles: