חיבור אירועי אבטחה של שרתי Windows
על מנת לחבר אירועי אבטחה של Windows, כדי להזרים אירועים משרתי Windows ל- Microsoft Sentinel.
בהתאם לדרישות של הארגון, ישנן מספר אפשרויות להעברת מידע על אירועי אבטחת מידע.
- אירועי אבטחה של שרתי Windows באמצעות קונקטור AMA (ARC)
- אירועי אבטחה של שרתי Windows באמצעות התקנת סוכן מדור קודם
ההבדלים בין שתי השיטות:
אירועי האבטחה של שרתי Windows באמצעות קונקטור AMA:
יתרונות:
- ניהול הגדרות איסוף בקנה מידה גדול
- סוכן הניטור של Azure המשותף עם פתרונות אחרים
- שיפורי ביצועים
- שיפורי אבטחה
מגבלות:
- לא תואם ל- Microsoft Defender עבור הענן
דרישות:
- VM/התקנים שאינם של Azure דורשים Azure Arc.
קביעת תצורה של כללי איסוף נתונים
אירועי האבטחה של Windows באמצעות קונקטור AMA נועד לאיסוף נתונים (DCR). איסוף הנתונים נותנים לנו שני יתרונות ברורים:
- ניהול הגדרות של איסוף נתונים בקנה מידה גדול תוך מתן אפשרות לתצורות ייחודיות בהיקף עבור קבוצות משנה של מחשבים. הם אינם תלויים בסביבת העבודה ואינם תלויים במחשב הווירטואלי, מה שאומר שניתן להגדיר אותם פעם אחת ולעשות בהם שימוש חוזר בין מכונות וסביבות. ראה קביעת תצורה של איסוף נתונים עבור סוכן צג Azure.
- בניית מסננים מותאמים אישית כדי לבחור את האירועים המדויקים שברצוננו לקלוט. סוכן של Azure משתמש בכללים אלה כדי לסנן את הנתונים במקור ולקלוט רק את האירועים הרצויים, תוך השארת כל השאר מאחור. סינון זה מאפשר לחסוך הרבה כסף בעלויות אגירת הנתונים!
דרישות מקדימות
- דרושות הרשאות קריאה וכתיבה בסביבת העבודה של Microsoft Sentinel.
- כדי לאסוף אירועים מכל מערכת שאינה מכונה וירטואלית של Azure, המערכת חייבת להיות מותקנת וזמינה ב- Azure Arc לפני שתהפוך את הקונקטור המבוסס על Azure Monitor Agent לזמין.
המערכות כוללות:
- שרתי Windows המותקנים במחשבים פיזיים
- שרתי Windows המותקנים במחשבים וירטואליים מקומיים
- שרתי Windows המותקנים במחשבים וירטואליים בעננים שאינם של Azure
הוראות
- מתפריט הניווט של Microsoft Sentinel, בחר קונקטורי נתונים (קונקטורים). בחר את הקונקטור של הארגון מהרשימה ולאחר מכן בחר פתח דף קונקטור בחלונית הפרטים. לאחר מכן בצע את ההוראות שעל המסך תחת הכרטיסיה הוראות, כמתואר בהמשך סעיף זה.
- ודא שיש לך את ההרשאות המתאימות כמתואר תחת המקטע תנאים מוקדמים בדף הקונקטור.
- תחת תצורה, בחר + הוסף כלל איסוף נתונים. אשף יצירת כלל איסוף הנתונים ייפתח מימין.
- תחת יסודות, הזן שם כלל וציין קבוצת מנויים ומשאבים שבה ייווצר כלל איסוף הנתונים (DCR). זה לא חייב להיות אותה קבוצת משאבים או מנוי שהמחשבים המנוטרים והאסוציאציות שלהם נמצאים בהם, כל עוד הם נמצאים באותו דייר.
- בכרטיסיית המשאבים, בחר +הוסף משאבים כדי להוסיף מחשבים שעליהם יחול כלל איסוף הנתונים. תיבת הדו-שיח בחירת טווח תיפתח, ותראה רשימה של מנויים זמינים. הרחב מנוי כדי לראות את קבוצות המשאבים שלו , והרחב קבוצת משאבים כדי לראות את המחשבים הזמינים. תראה מחשבים וירטואליים של Azure ושרתים התומכים ב- Azure Arc ברשימה. באפשרותך לסמן את תיבות הסימון של מנויים או קבוצות משאבים כדי לבחור את כל המחשבים שהם מכילים, או לבחור מחשבים בודדים . בחר החל לאחר שבחרת את כל המכונות של הארגון. בסוף תהליך זה, סוכן הצג של Azure יותקן בכל המחשבים הנבחרים שעדיין לא התקינו אותו.
- בכרטיסיה איסוף, בחר את האירועים שברצונך לאסוף: בחר כל האירועים או מותאם אישית כדי לציין יומני רישום אחרים או כדי לסנן אירועים באמצעות שאילתות XPath. הזן ביטויים בתיבה המוערכים לפי קריטריוני XML ספציפיים עבור אירועים שיש לאסוף ולאחר מכן בחר הוסף. באפשרותך להזין עד 20 ביטויים בתיבה אחת ועד 100 תיבות בכלל.
קונקטור אירועי האבטחה של Windows מציע שתי ערכות אירועים אחרות שנבנו מראש שבאפשרותך לבחור לאסוף: משותפת ומינימלית. סוכן צג התכלת הרקיע תומך בשאילתות XPath עבור XPath גירסה 1.0 בלבד.
- לאחר שהוספת את כל ביטויי הסינון הרצויים, בחר הבא: סקירה + יצירה.
- כאשר תראה את ההודעה "האימות עבר", בחר צור.
בדיקת החוקיות של שאילתת XPath
השתמש ב- Get-WinEvent של PowerShell עם הפרמטר -FilterXPath כדי לבדוק את החוקיות של שאילתת XPath. הסקריפט הבא מציג דוגמה:
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- אם אירועים מוחזרים, השאילתה חוקית.
- אם אתה מקבל את ההודעה "לא נמצאו אירועים התואמים לקריטריוני הבחירה שצוינו", ייתכן שהשאילתה חוקית, אך אין אירועים תואמים במחשב המקומי.
- אם אתה מקבל את ההודעה "השאילתה שצוינה אינה חוקית", תחביר השאילתה אינו חוקי.
חיבור סוכנים של שרתי Windows
קונקטור אירועי האבטחה באמצעות סוכן מדור קודם מאפשר לך להזרים את כל אירועי האבטחה ממערכות Windows של הארגון (שרתים ותחנות עבודה, פיזיים ווירטואליים) לסביבת העבודה של Microsoft Sentinel. הדבר מאפשר לך להציג אירועי אבטחה של Windows בלוחות המחוונים של הארגון, להשתמש בהם כדי ליצור התראות מותאמות אישית ולהסתמך עליהם כדי לשפר את החקירות של הארגון. באפשרותינו לבחור אילו אירועים להזרים מבין הקבוצות הבאות:
- כל האירועים – כל אירועי האבטחה של Windows ו- AppLocker.
- Common – סדרה סטנדרטית של אירועים למטרות ביקורת. נתיב ביקורת משתמש מלא כלול בערכה זו. לדוגמה, הוא מכיל הן אירועי כניסה של משתמש והן אירועי יציאת משתמש (מזהי אירועים 4624, 4634). קיימות גם פעולות ביקורת כגון שינויים בקבוצות אבטחה, פעולות Kerberos של בקר תחום מפתח וסוגים אחרים של אירועים בהתאם לשיטות העבודה המומלצות המקובלות.
- ערכת האירועים Common עשויה להכיל סוגים מסוימים של אירועים שאינם נפוצים כל כך. הסיבה לכך היא שהנקודה העיקרית של המערך המשותף היא להפחית את נפח האירועים לרמה נוחה יותר לניהול תוך שמירה על יכולת נתיב ביקורת מלאה.
- מינימלי – קבוצה קטנה של אירועים שעשויים להצביע על איומים פוטנציאליים. ערכה זו אינה מכילה נתיב ביקורת מלא. הוא מכסה רק אירועים שעשויים להצביע על פריצה מוצלחת ואירועים משמעותיים אחרים עם שיעורי התרחשות נמוכים. לדוגמה, הוא מכיל כניסות משתמשים מוצלחות וכושלות (מזהי אירועים 4624, 4625). ובכל זאת, הוא אינו מכיל פרטי יציאה (4634), שאמנם חשובים לביקורת, אך אינם משמעותיים לזיהוי פרצות ובעלי נפח גבוה יחסית. רוב נפח הנתונים של ערכה זו כולל אירועי כניסה ואירועי יצירת תהליכים (מזהה אירוע 4688).
- ללא – אין אירועי אבטחה או AppLocker. (הגדרה זו משמשת להשבתת הקונקטור).
חיבור מכונות וירטואליות של Windows
כדי להציג את דף הקונקטור:
- בחר בדף קונקטורי נתונים.
- בחר אירועי אבטחה.
- לאחר מכן בחר את הדף פתח קונקטור בחלונית התצוגה המקדימה.
- ודא שיש לך את ההרשאות המתאימות כמתואר תחת תנאים מוקדמים.
- בחר התקן סוכן במחשב הווירטואלי של Windows ולאחר מכן בקישור שמופיע להלן.
- עבור כל מחשב וירטואלי שברצונך לחבר, בחר את שמו ברשימה המופיעה משמאל ולאחר מכן בחר התחבר.
- בחר איזו ערכת אירועים (הכל, משותפת או מינימלית) ברצונך להזרים.
- בחר החל שינויים.
חיבור מכונות Windows שאינן חלק מ Azure VM
כדי להציג את דף הקונקטור:
- בחר בדף קונקטורי נתונים.
- בחר אירועי אבטחה.
- לאחר מכן בחר את הדף פתח קונקטור בחלונית התצוגה המקדימה.
- ודא שיש לך את ההרשאות המתאימות כמתואר תחת תנאים מוקדמים.
- בחר התקן סוכן במחשב Windows ולאחר מכן בקישור שמופיע להלן.
- בחר את קישורי ההורדה המתאימים המופיעים בצד שמאל, תחת מחשבי Windows.
- באמצעות קובץ ההפעלה שהורדת, התקן את הסוכן במערכות Windows לבחירתך והגדר אותו באמצעות מזהה סביבת העבודה והמפתחות המופיעים מתחת לקישורי ההורדה שהוזכרו לעיל.
- בחר איזו ערכת אירועים (הכל, משותפת או מינימלית) ברצונך להזרים.
- בחר החל שינויים.
- בתהליך ההתקנה תתבקש להכניס את ה Workspace ID וה- Key (הם מופיעים בהסבר על התהליך), ראה תרשים.
חיבור קונקטור CEF
קונקטור CEF פורס שרת Syslog Forwarder כדי לתמוך בתקשורת בין רכיבי אבטחת המידע לבין Microsoft Sentinel. השרת מורכב ממכונת לינוקס ייעודית עם סוכן Log Analytics עבור לינוקס מותקן. רבים מקונקטורי הנתונים של Microsoft Sentinel שהם ספציפיים לספק משתמשים בקונקטור CEF.
הדיאגרמה הבאה מציגה את ההתקנה עבור שרת של Linux עם חיבור של מקורות Syslog מרכיבי אבטחת המידע המקומיים ששולחים אירועים באופן מאובטח לשרת. על השרת מותקן סוכן של Log Analytics, סוכן זה קולט את הארועים מהרשת הפנימית של הארגון ולאחר מכן מעביר את יומני הרישום לסביבת העבודה של Microsoft Sentinel.
