使用基于 Windows 代理的数据连接器将 Microsoft Sentinel 连接到其他 Microsoft 服务

本文介绍如何使用基于 Windows 代理的连接将 Microsoft Sentinel 连接到其他 Microsoft 服务。 Microsoft Sentinel 使用 Azure Monitor 代理为来自许多 Azure 和 Microsoft 365 服务、Amazon Web Services 和各种 Windows Server 服务的数据引入提供内置的服务到服务支持。

Azure Monitor 代理使用数据收集规则 (DCR) 来定义要从每个代理收集的数据。 数据收集规则具有两个不同的优点:

  • 大规模地管理集合设置,同时还为计算机的子集启用了有作用域的唯一配置。 这些规则独立存在于工作区与虚拟机之外,这意味着这些规则在定义后可在各种计算机和环境中重复使用。 请参阅为 Azure Monitor 代理配置数据收集

  • 生成自定义筛选器,以选择需要引入的确切事件。 Azure Monitor 代理使用这些规则在数据源中筛选数据,并且仅引入所需要的事件,对于其他所有内容则不做处理。 这可在数据引入成本方面节省大量的资金!

重要

一些基于 Azure Monitor 代理 (AMA) 的连接器当前处于预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

  • 必须对 Microsoft Sentinel 工作区拥有读取和写入权限。

  • 若要从不是 Azure 虚拟机的任何系统收集事件,该系统必须已安装并启用 Azure Arc,然后才能启用基于 Azure Monitor 代理的连接器。

    这包括:

    • 安装在物理计算机上的 Windows 服务器
    • 安装在本地虚拟机上的 Windows 服务器
    • 安装在非 Azure 云中虚拟机上的 Windows 服务器
  • 对于“Windows 转发事件”数据连接器:

  • 从 Microsoft Sentinel 中的内容中心安装相关的 Microsoft Sentinel 解决方案。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容

通过 GUI 创建数据收集规则

  1. 在 Microsoft Sentinel 中,选择“配置”>“数据连接器”。 从列表中选择连接器,然后在“详细信息”窗格上选择“打开连接器”页面。 然后按照“说明”选项卡下的屏幕说明进行操作(如此部分其余内容所述)。

  2. 验证你是否拥有相应的权限,如连接器页上的“先决条件”部分中下的内容所述。

  3. 在“配置”下,选择“+ 添加数据收集规则”。 “创建数据收集规则”向导将在右侧打开。

  4. 在“基本信息”下,输入规则名称,并指定将在其中创建数据收集规则 (DCR) 的订阅和资源组。 这并不要求受监视计算机及其关联必须位于同一资源组或订阅中,只要它们位于同一租户中即可。

  5. 在“资源”选项卡中,选择“+ 添加资源”以添加将要应用数据收集规则的计算机。 “选择作用域”对话框将打开,并显示可用订阅的列表。 展开订阅以查看其资源组,然后展开资源组以查看可用的计算机。 列表中将显示 Azure 虚拟机和已启用 Azure Arc 的服务器。 你可以选中订阅或资源组的复选框以选择它们包含的所有计算机,也可以选择单个计算机。 选定所有需要的计算机,然后选择“应用”。 此过程结束时,Azure Monitor 代理将安装在任何尚未安装该代理的选定计算机上。

  6. 在“收集”选项卡上,选择要收集的事件:选择“所有事件”或选择“自定义”来指定其他日志,或者使用 XPath 查询来筛选事件。 在框中输入表达式,表达式的计算结果为要收集事件的特定 XML 条件,然后选择“添加”。 一个框中最多可输入 20 个表达式,一项规则中最多可有 100 个输入框。

    有关详细信息,请参阅 Azure Monitor 文档

    注意

    • Windows 安全事件连接器提供两个其他预生成事件集,可以将其用于选择收集“常用”和“最小” 。

    • Azure Monitor 代理仅支持 XPath 版本 1.0 的 XPath 查询。

    若要测试 XPath 查询的有效性,请使用带有 -FilterXPath 参数的 PowerShell cmdlet 命令 Get-WinEvent。 例如:

    $XPath = '*[System[EventID=1035]]'
    Get-WinEvent -LogName 'Application' -FilterXPath $XPath
    
    • 如果返回事件,则查询有效。
    • 如果收到消息“找不到任何与指定的选择条件匹配的事件”,则查询可能有效,但在本地计算机上没有匹配的事件。
    • 如果收到消息“指定的查询无效”,则查询语法无效。
  7. 添加所有需要的筛选表达式后,选择“下一步:查看 + 创建”。

  8. 看到“验证通过”消息时,选择“创建” 。

你将在连接器页面的“配置”下看到所有数据收集规则(包括通过 API 创建的规则)。 你还可以在此处编辑或删除现有规则。

使用 API 创建数据收集规则

你还可以使用 API 创建数据收集规则;如果你要创建许多规则(比如说你是一名 MSSP),这可以简化你的工作。 以下示例(对于通过 AMA 的 Windows 安全事件连接器)可用作创建规则的模板:

请求 URL 和标头

PUT https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

请求正文

{
    "location": "chinaeast2",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

有关详细信息,请参阅:

后续步骤

有关详细信息,请参阅: