使用基于 Windows 代理的数据连接器将 Microsoft Sentinel 连接到其他 Microsoft 服务
本文介绍如何使用基于 Windows 代理的连接将 Microsoft Sentinel 连接到其他 Microsoft 服务。 Microsoft Sentinel 使用 Azure Monitor 代理为来自许多 Azure 和 Microsoft 365 服务、Amazon Web Services 和各种 Windows Server 服务的数据引入提供内置的服务到服务支持。
Azure Monitor 代理使用数据收集规则 (DCR) 来定义要从每个代理收集的数据。 数据收集规则具有两个不同的优点:
大规模地管理集合设置,同时还为计算机的子集启用了有作用域的唯一配置。 这些规则独立存在于工作区与虚拟机之外,这意味着这些规则在定义后可在各种计算机和环境中重复使用。 请参阅为 Azure Monitor 代理配置数据收集。
生成自定义筛选器,以选择需要引入的确切事件。 Azure Monitor 代理使用这些规则在数据源中筛选数据,并且仅引入所需要的事件,对于其他所有内容则不做处理。 这可在数据引入成本方面节省大量的资金!
重要
一些基于 Azure Monitor 代理 (AMA) 的连接器当前处于预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
先决条件
必须对 Microsoft Sentinel 工作区拥有读取和写入权限。
若要从不是 Azure 虚拟机的任何系统收集事件,该系统必须已安装并启用 Azure Arc,然后才能启用基于 Azure Monitor 代理的连接器。
这包括:
- 安装在物理计算机上的 Windows 服务器
- 安装在本地虚拟机上的 Windows 服务器
- 安装在非 Azure 云中虚拟机上的 Windows 服务器
对于“Windows 转发事件”数据连接器:
- 必须启用并运行 Windows 事件收集 (WEC),并在 WEC 计算机上安装 Azure Monitor 代理。
- 我们建议安装高级安全信息模型 (ASIM) 分析程序以确保完全支持数据规范化。 可以从
Azure-Sentinel
GitHub 存储库部署这些分析程序。|
从 Microsoft Sentinel 中的内容中心安装相关的 Microsoft Sentinel 解决方案。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容。
通过 GUI 创建数据收集规则
在 Microsoft Sentinel 中,选择“配置”>“数据连接器”。 从列表中选择连接器,然后在“详细信息”窗格上选择“打开连接器”页面。 然后按照“说明”选项卡下的屏幕说明进行操作(如此部分其余内容所述)。
验证你是否拥有相应的权限,如连接器页上的“先决条件”部分中下的内容所述。
在“配置”下,选择“+ 添加数据收集规则”。 “创建数据收集规则”向导将在右侧打开。
在“基本信息”下,输入规则名称,并指定将在其中创建数据收集规则 (DCR) 的订阅和资源组。 这并不要求受监视计算机及其关联必须位于同一资源组或订阅中,只要它们位于同一租户中即可。
在“资源”选项卡中,选择“+ 添加资源”以添加将要应用数据收集规则的计算机。 “选择作用域”对话框将打开,并显示可用订阅的列表。 展开订阅以查看其资源组,然后展开资源组以查看可用的计算机。 列表中将显示 Azure 虚拟机和已启用 Azure Arc 的服务器。 你可以选中订阅或资源组的复选框以选择它们包含的所有计算机,也可以选择单个计算机。 选定所有需要的计算机,然后选择“应用”。 此过程结束时,Azure Monitor 代理将安装在任何尚未安装该代理的选定计算机上。
在“收集”选项卡上,选择要收集的事件:选择“所有事件”或选择“自定义”来指定其他日志,或者使用 XPath 查询来筛选事件。 在框中输入表达式,表达式的计算结果为要收集事件的特定 XML 条件,然后选择“添加”。 一个框中最多可输入 20 个表达式,一项规则中最多可有 100 个输入框。
有关详细信息,请参阅 Azure Monitor 文档。
注意
Azure Monitor 代理仅支持 XPath 版本 1.0 的 XPath 查询。
若要测试 XPath 查询的有效性,请使用带有 -FilterXPath 参数的 PowerShell cmdlet 命令 Get-WinEvent。 例如:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- 如果返回事件,则查询有效。
- 如果收到消息“找不到任何与指定的选择条件匹配的事件”,则查询可能有效,但在本地计算机上没有匹配的事件。
- 如果收到消息“指定的查询无效”,则查询语法无效。
添加所有需要的筛选表达式后,选择“下一步:查看 + 创建”。
看到“验证通过”消息时,选择“创建” 。
你将在连接器页面的“配置”下看到所有数据收集规则(包括通过 API 创建的规则)。 你还可以在此处编辑或删除现有规则。
使用 API 创建数据收集规则
你还可以使用 API 创建数据收集规则;如果你要创建许多规则(比如说你是一名 MSSP),这可以简化你的工作。 以下示例(对于通过 AMA 的 Windows 安全事件连接器)可用作创建规则的模板:
请求 URL 和标头
PUT https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
请求正文
{
"location": "chinaeast2",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
有关详细信息,请参阅:
后续步骤
有关详细信息,请参阅: