Connettere Microsoft Sentinel ad altri servizi Microsoft con un connettore dati basato su agente Windows

Questo articolo descrive come connettere Microsoft Sentinel ad altre connessioni basate su agente di Windows servizi Microsoft. Microsoft Sentinel usa l'agente di Monitoraggio di Azure per fornire supporto predefinito da servizio a servizio per l'inserimento di dati da molti servizi di Azure e Microsoft 365, Amazon Web Services e vari servizi Windows Server.

L'agente di Monitoraggio di Azure usa regole di raccolta dati (DCR) per definire i dati da raccogliere da ogni agente. Le regole di raccolta dati offrono due vantaggi distinti:

  • Gestire le impostazioni della raccolta su larga scala pur consentendo configurazioni univoche e con ambito per i subset di macchine virtuali. Sono indipendenti dall'area di lavoro e indipendenti dalla macchina virtuale, il che significa che possono essere definite una volta e riutilizzate tra computer e ambienti. Vedere Configurare la raccolta dati per l'agente di Monitoraggio di Azure.

  • Creare filtri personalizzati per scegliere gli eventi esatti da inserire. L'agente di Monitoraggio di Azure usa queste regole per filtrare i dati nell'origine e inserire solo gli eventi desiderati, ignorando tutto il resto. Ciò consente di risparmiare molto sui costi di inserimento dei dati.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Importante

Alcuni connettori basati sull'agente di Monitoraggio di Azure (AMA) sono attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Prerequisiti

  • È necessario disporre delle autorizzazioni di lettura e scrittura nell'area di lavoro Microsoft Sentinel.

  • Per raccogliere eventi da qualsiasi sistema che non sia una macchina virtuale di Azure, è necessario che il sistema abbia installato e abilitatoAzure Arc prima di abilitare il connettore basato sull'agente di Monitoraggio di Azure.

    Valuta gli ambiti seguenti:

    • Server Windows installati in computer fisici
    • Server Windows installati in macchine virtuali locali
    • Server Windows installati in macchine virtuali in cloud non Azure
  • Per il connettore dati Eventi inoltrati di Windows:

    • È necessario aver abilitato e in esecuzione la raccolta eventi di Windows con l'agente di Monitoraggio di Azure installato nel computer WEC.
    • È consigliabile installare i parser ASIM (Advanced Security Information Model) per garantire il supporto completo per la normalizzazione dei dati. È possibile distribuire questi parser dal Azure-Sentinel repository GitHub usando il pulsante Distribuisci in Azure.
  • Installare la soluzione Microsoft Sentinel correlata dall'hub del contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Creare regole di raccolta dati tramite l'interfaccia utente grafica

  1. In Microsoft Sentinel selezionare Connettori dati di configurazione>. Selezionare il connettore dall'elenco, quindi selezionare Apri la pagina del connettore nel riquadro dei dettagli. Quindi, seguire le istruzioni visualizzate nella scheda Istruzioni, come descritto nel resto di questa sezione.

  2. Verificare di disporre delle autorizzazioni appropriate, come descritto nella sezione Prerequisiti nella pagina del connettore.

  3. In Configurazione, selezionare +Aggiungi regola di raccolta dati. La procedura guidata Crea regola di raccolta dati verrà aperta a destra.

  4. In Informazioni di base, immettere un Nome della regola e specificare una Sottoscrizione e un Gruppo di risorse in cui verrà creata la regola di raccolta dati (DCR). Questo non deve essere lo stesso gruppo di risorse o la stessa sottoscrizione in cui si trovano i computer monitorati e le relative associazioni, purché si trovino nello stesso tenant.

  5. Nella scheda Risorse, selezionare +Aggiungi risorse per aggiungere i computer a cui verrà applicata la regola di raccolta dati. Verrà visualizzata la finestra di dialogo Seleziona un ambito e verrà visualizzato un elenco di sottoscrizioni disponibili. Espandere una sottoscrizione per visualizzare i relativi gruppi di risorse ed espandere un gruppo di risorse per visualizzare i computer disponibili. Nell'elenco verranno, visualizzate le macchine virtuali di Azure e i server abilitati per Azure Arc. È possibile selezionare le caselle di controllo delle sottoscrizioni o dei gruppi di risorse per selezionare tutti i computer inclusi oppure è possibile selezionare singoli computer. Selezionare Applica una volta selezionati tutti i computer. Alla fine di questo processo, l'agente di Monitoraggio di Azure verrà installato in tutti i computer selezionati in cui non è già installato.

  6. Nella scheda Raccogli scegliere gli eventi da raccogliere: selezionare Tutti gli eventi o Personalizzato per specificare altri log o per filtrare gli eventi usando query XPath. Immettere le espressioni nella casella che valutano criteri XML specifici per gli eventi da raccogliere, quindi selezionare Aggiungi. È possibile immettere fino a 20 espressioni in una singola casella e fino a 100 caselle in una regola.

    Per altre informazioni, vedere la Documentazione di Monitoraggio di Azure.

    Nota

    • Il connettore Eventi di sicurezza di Windows offre altri due set di eventi predefiniti che è possibile scegliere di raccogliere: Comuni e Minimi.

    • L'agente di Monitoraggio di Azure supporta solo le query XPath per XPath versione 1.0.

    Per testare la validità di una query XPath, usare il cmdlet di PowerShell Get-WinEvent con il parametro -FilterXPath . Ad esempio:

    $XPath = '*[System[EventID=1035]]'
    Get-WinEvent -LogName 'Application' -FilterXPath $XPath
    
    • Se vengono restituiti eventi, la query è valida.
    • Se viene visualizzato il messaggio "Nessun evento trovato che corrisponde ai criteri di selezione specificati", la query può essere valida, ma non sono presenti eventi corrispondenti nel computer locale.
    • Se viene visualizzato il messaggio "La query specificata non è valida", la sintassi della query non è valida.
  7. Dopo aver aggiunto tutte le espressioni di filtro desiderate, selezionare Avanti: Rivedi + crea.

  8. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

Nella pagina Del connettore verranno visualizzate tutte le regole di raccolta dati, incluse quelle create tramite l'API. Da qui è possibile modificare o eliminare le regole esistenti.

Creare regole di raccolta dati usando l'API

È anche possibile creare regole di raccolta dati usando l'API, che possono semplificare la vita se si creano molte regole, ad esempio se si è un PROVIDER di servizi gestito. Ecco un esempio (per gli Eventi di sicurezza di Windows tramite il connettore AMA) che è possibile usare come modello per la creazione di una regola:

URL e intestazione della richiesta

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Testo della richiesta

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Per altre informazioni, vedi:

Passaggi successivi

Per altre informazioni, vedi: