Windows aracısı tabanlı bir veri bağlayıcısıyla Microsoft Sentinel'i diğer Microsoft hizmetlerine bağlama

Bu makalede, Microsoft Sentinel'in diğer Microsoft hizmetleri Windows aracı tabanlı bağlantılara nasıl bağlandığı açıklanır. Microsoft Sentinel, birçok Azure ve Microsoft 365 hizmetinden, Amazon Web Services'ten ve çeşitli Windows Server hizmetlerinden veri alımı için yerleşik, hizmetten hizmete destek sağlamak için Azure İzleyici Aracısı'nı kullanır.

Azure İzleyici Aracısı, her aracıdan toplayacak verileri tanımlamak için Veri toplama kurallarını (DCR) kullanır. Veri toplama kuralları size iki farklı avantaj sunar:

  • Makinelerin alt kümeleri için benzersiz, kapsamlı yapılandırmalara izin verirken koleksiyon ayarlarını uygun ölçekte yönetin. Çalışma alanından bağımsızdır ve sanal makineden bağımsızdır, yani bir kez tanımlanabilir ve makineler ve ortamlar arasında yeniden kullanılabilirler. Bkz. Azure İzleyici Aracısı için veri toplamayı yapılandırma.

  • Almak istediğiniz olayları tam olarak seçmek için özel filtreler oluşturun. Azure İzleyici Aracısı bu kuralları kullanarak kaynakta verileri filtreler ve yalnızca istediğiniz olayları alır ve diğer her şeyi geride bırakır. Bu, veri alımı maliyetlerinden çok tasarruf etmenizi sağlayabilir!

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Önemli

Azure İzleyici Aracısı'nı (AMA) temel alan bazı bağlayıcılar şu anda ÖNIZLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Önkoşullar

  • Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.

  • Azure sanal makinesi olmayan herhangi bir sistemden olay toplamak için, Azure İzleyici Aracısı tabanlı bağlayıcıyı etkinleştirmeden önce sistemde Azure Arc yüklü ve etkin olmalıdır.

    Buna aşağıdakiler dahildir:

    • Fiziksel makinelerde yüklü Windows sunucuları
    • Şirket içi sanal makinelerde yüklü Windows sunucuları
    • Azure dışı bulutlardaki sanal makinelere yüklenen Windows sunucuları
  • Windows İletilen Olaylar veri bağlayıcısı için:

  • Microsoft Sentinel'de İçerik Merkezi'nden ilgili Microsoft Sentinel çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

GUI aracılığıyla veri toplama kuralları oluşturma

  1. Microsoft Sentinel'den Yapılandırma>Verileri bağlayıcıları'nı seçin. Listeden bağlayıcınızı seçin ve ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin. Ardından, bu bölümün geri kalanında açıklandığı gibi Yönergeler sekmesinin altındaki ekrandaki yönergeleri izleyin.

  2. Bağlayıcı sayfasındaki Önkoşullar bölümünde açıklandığı gibi uygun izinlere sahip olduğunuzu doğrulayın.

  3. Yapılandırma'nın altında +Veri toplama kuralı ekle'yi seçin. Veri toplama kuralı oluşturma sihirbazı sağ tarafta açılır.

  4. Temel Bilgiler'in altında bir Kural adı girin ve veri toplama kuralının (DCR) oluşturulacağı Abonelik ve Kaynak grubunu belirtin. Bunun, izlenen makinelerin ve ilişkilerinin aynı kiracıda olduğu sürece aynı kaynak grubu veya abonelik olması gerekmez.

  5. Veri Toplama Kuralı'nın uygulanacağı makineleri eklemek için Kaynaklar sekmesinde +Kaynak ekle'yi seçin. Kapsam seçin iletişim kutusu açılır ve kullanılabilir aboneliklerin listesini görürsünüz. Kaynak gruplarını görmek için aboneliği genişletin ve kullanılabilir makineleri görmek için bir kaynak grubunu genişletin. Listede Azure sanal makineleri ve Azure Arc özellikli sunucular görürsünüz. Aboneliklerin veya kaynak gruplarının onay kutularını işaretleyebilir ve içerdikleri tüm makineleri seçebilir veya tek tek makineleri seçebilirsiniz. Tüm makinelerinizi seçtiğinizde Uygula'yı seçin. Bu işlemin sonunda, Azure İzleyici Aracısı henüz yüklü olmayan seçili makinelere yüklenir.

  6. Topla sekmesinde, toplamak istediğiniz olayları seçin: Diğer günlükleri belirtmek veya XPath sorgularını kullanarak olayları filtrelemek için Tüm olaylar veya Özel'i seçin. Toplaması gereken olaylar için belirli XML ölçütlerini değerlendiren ifadeleri kutuya girin ve Ekle'yi seçin. Tek bir kutuya en fazla 20 ifade ve bir kurala en çok 100 kutu girebilirsiniz.

    Daha fazla bilgi için Azure İzleyici belgelerine bakın.

    Not

    • Windows Güvenliği Olayları bağlayıcısı, toplamayı seçebileceğiniz iki önceden oluşturulmuş olay kümesi daha sunar: Ortak ve En Az.

    • Azure İzleyici Aracısı yalnızca XPath sürüm 1.0 için XPath sorgularını destekler.

    XPath sorgusunun geçerliliğini test etmek için -FilterXPath parametresiyle Get-WinEvent PowerShell cmdlet'ini kullanın. Örneğin:

    $XPath = '*[System[EventID=1035]]'
    Get-WinEvent -LogName 'Application' -FilterXPath $XPath
    
    • Olaylar döndürülürse sorgu geçerli olur.
    • "Belirtilen seçim ölçütlerine uyan hiçbir olay bulunamadı" iletisini alırsanız sorgu geçerli olabilir, ancak yerel makinede eşleşen olay yok.
    • "Belirtilen sorgu geçersiz" iletisini alırsanız, sorgu söz dizimi geçersizdir.
  7. İstediğiniz tüm filtre ifadelerini eklediğinizde İleri: Gözden geçir + oluştur'u seçin.

  8. Doğrulama başarılı iletisini gördüğünüzde Oluştur'u seçin.

Bağlayıcı sayfasındaki Yapılandırma bölümünde API aracılığıyla oluşturulanlar da dahil olmak üzere tüm veri toplama kurallarınızı görürsünüz. Buradan mevcut kuralları düzenleyebilir veya silebilirsiniz.

API kullanarak veri toplama kuralları oluşturma

AYRıCA API'yi kullanarak veri toplama kuralları da oluşturabilirsiniz. Bu, MSSP'niz gibi birçok kural oluşturuyorsanız hayatı kolaylaştırabilir. Kural oluşturmak için şablon olarak kullanabileceğiniz bir örnek (AMA bağlayıcısı aracılığıyla Windows Güvenliği Olayları için):

İstek URL'si ve üst bilgisi

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

İstek gövdesi

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Daha fazla bilgi için bkz.

Sonraki adımlar

Daha fazla bilgi için bkz.