Bagikan melalui

Menyambungkan Microsoft Azure Sentinel pada layanan Microsoft lainnya dengan konektor data berbasis agen Windows

  • Artikel

Artikel ini menjelaskan cara menyambungkan Microsoft Azure Sentinel ke koneksi berbasis agen Windows layanan Microsoft lainnya. Microsoft Sentinel menggunakan Agen Azure Monitor untuk menyediakan dukungan layanan-ke-layanan bawaan untuk penyerapan data dari banyak layanan Azure dan Microsoft 365, Amazon Web Services, dan berbagai layanan Windows Server.

Agen Azure Monitor menggunakan Aturan pengumpulan data (DCR) untuk menentukan data yang akan dikumpulkan dari setiap agen. Aturan pengumpulan data menawarkan dua keuntungan berbeda:

  • Mengelola pengaturan kumpulan dalam skala besar sambil tetap mengizinkan konfigurasi unik dan tercakup untuk subset komputer. DCR independen dari ruang kerja dan independen dari komputer virtual,artinya DCR dapat ditentukan sekali dan digunakan kembali di seluruh komputer dan lingkungan. Lihat Mengonfigurasi pengumpulan data untuk Agen Azure Monitor.

  • Membangun filter kustom untuk memilih peristiwa yang tepat yang ingin Anda serap. Agen Azure Monitor menggunakan aturan ini untuk memfilter data di sumber dan hanya menyerap peristiwa yang Anda inginkan, sambil meninggalkan segala sesuatu lainnya. Ini dapat menghemat banyak uang Anda dalam biaya penyerapan data!

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Penting

Beberapa konektor berdasarkan Agen Azure Monitor (AMA) saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Prasyarat

  • Anda harus memiliki izin baca dan tulis di ruang kerja Microsoft Azure Sentinel.

  • Untuk mengumpulkan peristiwa dari sistem apa pun yang bukan mesin virtual Azure, sistem harus memiliki Azure Arc yang dipasang dan diaktifkan sebelum Anda mengaktifkan konektor berbasis Agen Azure Monitor.

    Drive ini termasuk:

    • Server Windows terinstal pada komputer fisik
    • Server Windows terinstal pada komputer virtual lokal
    • Server Windows dipasang pada komputer virtual di cloud non-Azure

  • Untuk konektor data Peristiwa yang Diteruskan Windows:

    • Anda harus mengaktifkan dan menjalankan Windows Event Collection (WEC), dengan Agen Azure Monitor terinstal pada komputer WEC.
    • Sebaiknya pasang pengurai Advanced Security Information Model (ASIM) untuk memastikan dukungan penuh untuk normalisasi data. Anda dapat menerapkan pengurai ini dari Azure-Sentinel repositori GitHub menggunakan tombol Sebarkan ke Azure di sana.

  • Instal solusi Microsoft Sentinel terkait dari Content Hub di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

Membuat aturan pengumpulan data melalui GUI

  1. Dari Microsoft Azure Sentinel, pilih Konektor Data Konfigurasi>. Pilih konektor Anda dari daftar, lalu pilih Buka halaman konektor pada panel detail. Lalu ikuti instruksi di layar di bawah tab Instruksi, seperti yang dijelaskan di seluruh bagian ini.

  2. Verifikasi bahwa Anda memiliki izin yang sesuai seperti yang dijelaskan di bawah bagianPrasyarat pada halaman konektor.

  3. Di bawah Konfigurasi, pilih +Tambahkan aturan pengumpulan data. Wizard Membuat aturan pengumpulan data akan terbuka di sebelah kanan.

  4. Di bawahDasar-Dasar, masukkan nama Aturan dan tentukan Langganan dan Grup sumber daya tempat aturan pengumpulan data (DCR) akan dibuat. Ini tidak harus menjadi grup sumber daya yang sama atau berlangganan komputer yang dipantau dan asosiasi mereka berada, selama mereka berada di penyewa yang sama.

  5. Di tab Sumber Daya, pilih +Tambahkan sumber daya untuk menambahkan komputer yang akan diterapkan Aturan Pengumpulan Data. Dialog Pilih cakupan akan terbuka, dan Anda akan melihat daftar langganan yang tersedia. Perluas langganan untuk melihat grup sumber dayanya, dan perluas grup sumber daya untuk melihat komputer yang tersedia. Anda akan melihat komputer virtual Azure dan server aktif Azure Arc dalam daftar. Anda dapat menandai kotak centang langganan atau grup sumber daya untuk memilih semua komputer yang dimuatnya, atau Anda dapat memilih komputer individual. Pilih Terapkan saat Anda telah memilih semua komputer Anda. Pada akhir proses ini, Agen Azure Monitor akan dipasang pada setiap komputer yang dipilih yang belum memasangnya.

  6. Pada tab Kumpulkan , pilih peristiwa yang ingin Anda kumpulkan: pilih Semua peristiwa atau Kustom untuk menentukan log lain atau untuk memfilter peristiwa menggunakan kueri XPath. Masukkan ekspresi dalam kotak yang dievaluasi ke kriteria XML tertentu untuk peristiwa yang dikumpulkan, lalu pilih Tambahkan. Anda bisa memasukkan hingga 20 ekspresi dalam satu kotak, dan hingga 100 kotak dalam aturan.

    Untuk informasi selengkapnya, lihat dokumentasi Azure Monitor.

    Catatan

    • Konektor Peristiwa Keamanan Windows menawarkan dua kumpulan peristiwa bawaan lainnya yang dapat Anda pilih untuk dikumpulkan: Umum dan Minimal.

    • Agen Azure Monitor hanya mendukung kueri XPath untuk XPath versi 1.0.

    Untuk menguji validitas kueri XPath, gunakan cmdlet PowerShell Get-WinEvent dengan parameter -FilterXPath . Contohnya:

    $XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
    • Jika peristiwa ditampilkan, kueri valid.
    • Jika Anda menerima pesan Tidak ada peristiwa yang ditemukan cocok dengan kriteria seleksi yang ditentukan., kueri mungkin valid, tetapi tidak ada peristiwa yang cocok di komputer lokal.
    • Jika Anda menerima pesan Kueri yang ditentukan tidak valid , sintaksis kueri tidak valid.

  7. Saat Anda telah menambahkan semua ekspresi filter yang Anda inginkan, pilih Berikutnya: Tinjau + buat.

  8. Setelah muncul pesan Validasi berhasil, pilih Buat.

Anda akan melihat semua aturan pengumpulan data, termasuk yang dibuat melalui API, di bawah Konfigurasi di halaman konektor. Dari sana Anda dapat mengedit atau menghapus aturan yang ada.

Membuat aturan pengumpulan data menggunakan API

Anda juga dapat membuat aturan pengumpulan data menggunakan API, yang dapat mempermudah hidup jika Anda membuat banyak aturan, seperti jika Anda adalah MSSP. Berikut ini contoh (untuk konektor Peristiwa Keamanan Windows melalui AMA) yang dapat Anda gunakan sebagai templat untuk membuat aturan:

Permintaan URL dan header

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Badan permintaan

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Untuk informasi selengkapnya, lihat:

Langkah berikutnya

Untuk informasi selengkapnya, lihat: