Łączenie ze zdarzeniami zabezpieczeń systemu WindowsConnect Windows security events

Łącznik zdarzeń zabezpieczeń umożliwia przesyłanie strumieniowe wszystkich zdarzeń zabezpieczeń z systemów Windows (serwerów i stacji roboczych, fizycznych i wirtualnych) do obszaru roboczego wskaźnikowego platformy Azure.The Security Events connector lets you stream all security events from your Windows systems (servers and workstations, physical and virtual) to your Azure Sentinel workspace. Dzięki temu można wyświetlać zdarzenia zabezpieczeń systemu Windows na pulpitach nawigacyjnych, korzystać z nich w tworzeniu niestandardowych alertów i polegać na nich w celu ulepszania dochodzeń, dzięki czemu możesz uzyskać więcej informacji o sieci organizacji i rozszerzać możliwości operacji związanych z bezpieczeństwem.This enables you to view Windows security events in your dashboards, to use them in creating custom alerts, and to rely on them to improve your investigations, giving you more insight into your organization's network and expanding your security operations capabilities. Możesz wybrać, które zdarzenia mają być przesyłane strumieniowo spośród następujących zestawów: You can select which events to stream from among the following sets:

  • Wszystkie zdarzenia — wszystkie zdarzenia zabezpieczeń systemu Windows i funkcji AppLocker.All events - All Windows security and AppLocker events.

  • Wspólny — standardowy zestaw zdarzeń do celów inspekcji.Common - A standard set of events for auditing purposes. W tym zestawie znajduje się pełny dziennik inspekcji użytkownika.A full user audit trail is included in this set. Na przykład zawiera zdarzenia logowania użytkownika i logowania użytkowników (identyfikatory zdarzeń 4624, 4634).For example, it contains both user sign-in and user sign-out events (event IDs 4624, 4634). Istnieją także akcje inspekcji, takie jak zmiany grupy zabezpieczeń, kluczowego kontrolera domeny i inne typy zdarzeń w wierszu z zaakceptowanymi najlepszymi rozwiązaniami.There are also auditing actions such as security group changes, key domain controller Kerberos operations, and other types of events in line with accepted best practices.

    Typowy zestaw zdarzeń może zawierać niektóre typy zdarzeń, które nie są tak popularne.The Common event set may contain some types of events that aren't so common. Wynika to z faktu, że głównym punktem wspólnego zestawu jest zmniejszenie ilości zdarzeń na bardziej możliwy do zarządzania, utrzymując jednocześnie pełną funkcję dziennika inspekcji.This is because the main point of the Common set is to reduce the volume of events to a more manageable level, while still maintaining full audit trail capability.

  • Minimalny — niewielki zestaw zdarzeń, które mogą wskazywać na potencjalne zagrożenia.Minimal - A small set of events that might indicate potential threats. Ten zestaw nie zawiera pełnego dziennika inspekcji.This set does not contain a full audit trail. Obejmuje tylko zdarzenia, które mogą wskazywać na pomyślne naruszenie, oraz inne ważne zdarzenia, które mają bardzo niskie wskaźniki.It covers only events that might indicate a successful breach, and other important events that have very low rates of occurrence. Przykładowo zawiera powodzenie i nieudane logowania użytkowników (identyfikatory zdarzeń 4624, 4625), ale nie zawiera informacji o wylogowaniu (4634), które nie mają znaczenia dla inspekcji, a jednocześnie ma stosunkowo duże ilości danych.For example, it contains successful and failed user logons (event IDs 4624, 4625), but it doesn't contain sign-out information (4634) which, while important for auditing, is not meaningful for breach detection and has relatively high volume. Większość ilości danych tego zestawu składa się z zdarzeń logowania i zdarzeń tworzenia procesów (Identyfikator zdarzenia 4688).Most of the data volume of this set is comprised of sign-in events and process creation events (event ID 4688).

  • Brak — brak zdarzeń zabezpieczeń lub funkcji AppLocker.None - No security or AppLocker events. (To ustawienie służy do wyłączania łącznika).(This setting is used to disable the connector.)

    Poniższa lista zawiera kompletny podział identyfikatorów zdarzeń związanych z zabezpieczeniami i blokowaniem aplikacji dla każdego zestawu:The following list provides a complete breakdown of the Security and App Locker event IDs for each set:

    Zestaw zdarzeńEvent set Identyfikatory zebranych zdarzeńCollected event IDs
    MinimalnyMinimal 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 50241102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222
    WspólneCommon 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719 , 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933 , 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 300041, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004

Uwaga

Zbieranie zdarzeń zabezpieczeń w kontekście jednego obszaru roboczego można skonfigurować z poziomu Azure Security Center lub platformy Azure, ale nie obu.Security Events collection within the context of a single workspace can be configured from either Azure Security Center or Azure Sentinel, but not both. Jeśli dołączysz wskaźnik platformy Azure do obszaru roboczego, który już otrzymuje alerty usługi Azure Defender z Azure Security Center i jest ustawiony na zbieranie zdarzeń zabezpieczeń, masz dwie opcje:If you are onboarding Azure Sentinel in a workspace that is already getting Azure Defender alerts from Azure Security Center, and is set to collect Security Events, you have two options:

  • Pozostaw zbieranie zdarzeń zabezpieczeń w Azure Security Center.Leave the Security Events collection in Azure Security Center as is. Będzie można wykonywać zapytania i analizować te zdarzenia na platformie Azure, a także w usłudze Azure Defender.You will be able to query and analyze these events in Azure Sentinel as well as in Azure Defender. Nie będzie jednak można monitorować stanu łączności łącznika ani zmieniać jego konfiguracji na platformie Azure — wskaźnik.You will not, however, be able to monitor the connector's connectivity status or change its configuration in Azure Sentinel. Jeśli jest to ważne dla Ciebie, weź pod uwagę drugą opcję.If this is important to you, consider the second option.

  • Wyłącz zbieranie zdarzeń zabezpieczeń w Azure Security Center, a następnie Dodaj łącznik zdarzeń zabezpieczeń na platformie Azure.Disable Security Events collection in Azure Security Center, and only then add the Security Events connector in Azure Sentinel. Podobnie jak w przypadku pierwszej opcji, można wysyłać zapytania i analizować zdarzenia zarówno z platformy Azure, jak i usługi Azure Defender/ASC, ale teraz będzie można monitorować stan łączności łącznika lub zmieniać jego konfigurację w systemach i tylko na platformie Azure.As with the first option, you will be able to query and analyze events in both Azure Sentinel and Azure Defender/ASC, but you will now be able to monitor the connector's connectivity status or change its configuration in - and only in - Azure Sentinel.

Konfigurowanie łącznika zdarzeń zabezpieczeń systemu WindowsSet up the Windows Security Events connector

Aby zebrać zdarzenia zabezpieczeń systemu Windows na platformie Azure — wskaźnik:To collect your Windows security events in Azure Sentinel:

  1. Z menu nawigacyjnego wskaźnikowego platformy Azure wybierz pozycję Łączniki danych.From the Azure Sentinel navigation menu, select Data connectors. Z listy łączników kliknij pozycję zdarzenia zabezpieczeń, a następnie na przycisk Otwórz stronę łącznika w prawym dolnym rogu.From the list of connectors, click on Security Events, and then on the Open connector page button on the lower right. Następnie postępuj zgodnie z instrukcjami wyświetlanymi na ekranie na karcie instrukcje , zgodnie z opisem w pozostałej części tej sekcji.Then follow the on-screen instructions under the Instructions tab, as described through the rest of this section.

  2. Sprawdź, czy masz odpowiednie uprawnienia, zgodnie z opisem w sekcji wymagania wstępne na stronie łącznika.Verify that you have the appropriate permissions as described under the Prerequisites section on the connector page.

  3. Pobierz i zainstaluj agenta log Analytics (znanego również jako Microsoft Monitoring Agent lub MMA) na maszynach, dla których chcesz przesyłać strumieniowo zdarzenia zabezpieczeń do usługi Azure wskaźnikowej.Download and install the Log Analytics agent (also known as the Microsoft Monitoring Agent or MMA) on the machines for which you want to stream security events into Azure Sentinel.

    W przypadku usługi Azure Virtual Machines:For Azure Virtual Machines:

    1. Kliknij pozycję Zainstaluj agenta na maszynie wirtualnej platformy Azure systemu Windows, a następnie w wyświetlonym poniżej obszarze linku.Click on Install agent on Azure Windows Virtual Machine, and then on the link that appears below.
    2. Dla każdej maszyny wirtualnej, która ma zostać nawiązane połączenie, kliknij jej nazwę na liście, która pojawia się po prawej stronie, a następnie kliknij przycisk Połącz.For each virtual machine that you want to connect, click on its name in the list that appears on the right, and then click Connect.

    W przypadku maszyn z systemem Windows nienależących do platformy Azure (fizycznych, wirtualnych w Premium lub wirtualnych w innej chmurze):For non-Azure Windows machines (physical, virtual on-prem, or virtual in another cloud):

    1. Kliknij pozycję Zainstaluj agenta na komputerze spoza systemu Windows, a następnie w wyświetlonym obszarze linku.Click on Install agent on non-Azure Windows Machine, and then on the link that appears below.
    2. Kliknij odpowiednie linki do pobrania, które pojawiają się po prawej stronie w obszarze komputery z systemem Windows.Click on the appropriate download links that appear on the right, under Windows Computers.
    3. Używając pobranego pliku wykonywalnego, Zainstaluj agenta w wybranych systemach Windows i skonfiguruj go przy użyciu identyfikatora obszaru roboczego i kluczy , które są wyświetlane poniżej linków pobierania wymienionych powyżej.Using the downloaded executable file, install the agent on the Windows systems of your choice, and configure it using the Workspace ID and Keys that appear below the download links mentioned above.

    Uwaga

    Aby zezwolić na używanie systemów Windows bez konieczności łączności z Internetem w celu przesyłania strumieniowego zdarzeń do platformy Azure, należy pobrać i zainstalować bramę pakietu OMS na oddzielnym komputerze przy użyciu linku w prawym dolnym rogu, aby działać jako serwer proxy.To allow Windows systems without the necessary internet connectivity to still stream events to Azure Sentinel, download and install the OMS Gateway on a separate machine, using the link on the lower right, to act as a proxy. Nadal trzeba będzie zainstalować agenta Log Analytics w każdym systemie Windows, którego zdarzenia mają być zbierane.You will still need to install the Log Analytics agent on each Windows system whose events you want to collect.

    Aby uzyskać więcej informacji na temat tego scenariusza, zobacz dokumentację usługi log Analytics Gateway.For more information on this scenario, see the Log Analytics gateway documentation.

    Dodatkowe opcje instalacji i dalsze szczegóły znajdują się w dokumentacji agenta log Analytics.For additional installation options and further details, see the Log Analytics agent documentation.

  4. Wybierz zestaw zdarzeń (wszystkie, typowe lub minimalne), które chcesz przesłać strumieniowo.Select which event set (All, Common, or Minimal) you want to stream.

  5. Kliknij przycisk Update (Aktualizuj).Click Update.

  6. Aby użyć odpowiedniego schematu w Log Analytics dla zdarzeń zabezpieczeń systemu Windows, wpisz SecurityEvent w oknie zapytania.To use the relevant schema in Log Analytics for Windows security events, type SecurityEvent in the query window.

Sprawdź poprawność łącznościValidate connectivity

Rozpoczęcie wyświetlania dzienników w Log Analytics może potrwać około 20 minut.It may take around 20 minutes until your logs start to appear in Log Analytics.

Konfigurowanie łącznika zdarzeń zabezpieczeń pod kątem nietypowego wykrywania logowania protokołu RDPConfigure the Security events connector for anomalous RDP login detection

Ważne

Nietypowe wykrywanie logowania za pomocą protokołu RDP jest obecnie w publicznej wersji zapoznawczej.Anomalous RDP login detection is currently in public preview. Ta funkcja jest dostępna bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych.This feature is provided without a service level agreement, and it's not recommended for production workloads. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Wskaźnik na platformie Azure może zastosować Uczenie maszynowe (ML) do danych zdarzeń związanych z zabezpieczeniami, aby zidentyfikować nietypowe działanie logowania Remote Desktop Protocol (RDP).Azure Sentinel can apply machine learning (ML) to Security events data to identify anomalous Remote Desktop Protocol (RDP) login activity. Scenariusze obejmują:Scenarios include:

  • Nietypowy IP — adres IP rzadko lub nie został zaobserwowany w ciągu ostatnich 30 dniUnusual IP - the IP address has rarely or never been observed in the last 30 days

  • Nietypowa lokalizacja geograficzna — adres IP, miasto, kraj i ASN są rzadko lub nigdy Nieobserwowane w ciągu ostatnich 30 dniUnusual geo-location - the IP address, city, country, and ASN have rarely or never been observed in the last 30 days

  • Nowy użytkownik — nowy użytkownik loguje się przy użyciu adresu IP i lokalizacji geograficznej, lub z których nie oczekuje się, że zostały one zaobserwowane na podstawie danych z 30-dniowych wcześniej.New user - a new user logs in from an IP address and geo-location, both or either of which were not expected to be seen based on data from the 30 days prior.

Instrukcje dotyczące konfiguracjiConfiguration instructions

  1. Należy zebrać dane logowania do protokołu RDP (Identyfikator zdarzenia 4624) za pomocą łącznika danych zdarzeń zabezpieczeń .You must be collecting RDP login data (Event ID 4624) through the Security events data connector. Upewnij się, że wybrano zestaw zdarzeń poza "Brak", aby przesłać strumieniowo do usługi Azure wskaźnikowej.Make sure you have selected an event set besides "None" to stream into Azure Sentinel.

  2. W portalu Azure wskaźnikowym kliknij pozycję Analiza, a następnie kliknij kartę Szablony reguł . Wybierz (w wersji zapoznawczej) regułę wykrywania nietypowej nazwy logowania protokołu RDP i przenieś suwak stanu na wartość włączone.From the Azure Sentinel portal, click Analytics, and then click the Rule templates tab. Choose the (Preview) Anomalous RDP Login Detection rule, and move the Status slider to Enabled.

    Uwaga

    Ponieważ algorytm uczenia maszynowego wymaga, aby dane były w trakcie tworzenia profilu linii bazowej zachowania użytkownika przez 30 dni, przed wykryciem zdarzeń można zebrać dane zdarzeń zabezpieczeń.As the machine learning algorithm requires 30 days' worth of data to build a baseline profile of user behavior, you must allow 30 days of Security events data to be collected before any incidents can be detected.

Następne krokiNext steps

W tym dokumencie przedstawiono sposób łączenia zdarzeń zabezpieczeń systemu Windows z wskaźnikiem kontrolnym platformy Azure.In this document, you learned how to connect Windows security events to Azure Sentinel. Aby dowiedzieć się więcej na temat platformy Azure, zobacz następujące artykuły:To learn more about Azure Sentinel, see the following articles: