Configuración del origen para Eventos de Microsoft Windows - Amazon CloudWatch
Integración con Eventos de WindowsAutenticación con Eventos de WindowsConfiguración de la canalización de CloudWatchClases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Configuración del origen para Eventos de Microsoft Windows

Integración con Eventos de Windows

Los registros de Eventos de Microsoft Windows proporcionan un sistema de registro completo que registra los eventos del sistema, la seguridad y las aplicaciones en sistemas operativos Windows. La canalización de CloudWatch utiliza la API de Log Analytics para recuperar información sobre las operaciones del sistema, los eventos de seguridad, las actividades de los usuarios y el comportamiento de las aplicaciones de las estaciones de trabajo y los servidores de Windows. La API de Log Analytics permite acceder a los datos de eventos mediante consultas KQL (lenguaje de consultas Kusto), lo que permite recuperar los registros de Eventos de Windows de los espacios de trabajo de Log Analytics.

Autenticación con Eventos de Windows

Para leer los registros de auditoría de Eventos de Windows, la canalización debe autenticarse con su cuenta. El complemento es compatible con la autenticación OAuth2. Siga estas instrucciones para comenzar a utilizar las API de Log Analytics de Eventos de Microsoft Windows.

  • Registre una aplicación en Azure con los tipos de cuentas compatibles, solo las cuentas de este directorio organizativo (inquilino único). Una vez finalizado el registro, anote el ID de aplicación (cliente) y el ID de directorio (inquilino).

  • Genere un nuevo secreto de cliente para la aplicación. El secreto de cliente se usa cuando se intercambia un código de autorización por un token de acceso. Copie el valor del secreto inmediatamente, ya que no se volverá a mostrar.

  • En AWS Secrets Manager, cree un secreto y almacene el ID de aplicación (cliente) en la clave client_id y el secreto de cliente en la clave client_secret.

  • Especifique los permisos de API que requiere la aplicación para acceder a la API de Log Analytics. El permiso que necesita es Data.Read: Required para ejecutar consultas KQL y leer datos de registro de espacios de trabajo de Log Analytics, lo que incluye los registros de eventos de Windows.

  • Cree y configure un espacio de trabajo de Log Analytics: cree un espacio de trabajo en Azure Portal (Monitor → Log Analytics workspaces). Cree una regla de recopilación de datos (DCR) para especificar qué registros de Eventos de Windows se recopilarán (sistema, aplicación, seguridad). Conecte sus servidores o máquinas virtuales de Windows al espacio de trabajo a través de la DCR. Anote el ID de espacio de trabajo en la página de información general del espacio de trabajo (obligatorio para las consultas de la API).

  • Otorgue acceso al espacio de trabajo a la aplicación: vaya al espacio de trabajo de Log Analytics → Access control (IAM). Asigne la función de lector de Log Analytics a la aplicación registrada. Este rol de RBAC funciona junto con el permiso de la API para proporcionar un acceso seguro: OAuth confirma los derechos de uso de la API, mientras que IAM confirma los derechos de acceso a los datos del espacio de trabajo.

Configuración de la canalización de CloudWatch

Al configurar la canalización para leer registros, elija Eventos de Microsoft Windows como origen de datos. Rellene la información obligatoria, como el ID de inquilino, con el ID de directorio (inquilino) y el ID de espacio de trabajo (workspace_id). Una vez que haya creado la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.

Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Esta integración es compatible con la versión 1.5.0 del esquema OCSF y los eventos de auditoría de Windows que se asignan al cambio de cuentas (3001), la autenticación (3002), la administración de entidades (3004), la actividad de registro de eventos (1008), la actividad de sistemas de archivos (1001), la administración de grupos (3006) y la actividad del kernel (1003).

El cambio de cuentas contiene los siguientes eventos:

  • 4740

La autenticación contiene los siguientes eventos:

  • 4624

  • 4625

  • 4634

  • 4647

  • 4648

  • 4649

  • 4672

La administración de entidades contiene los eventos siguientes:

  • 4616

  • 4907

  • 4719

  • 4902

La actividad de registro de eventos contiene los siguientes eventos:

  • 1 100

  • 1102

  • 1104

  • 1105

La actividad de sistemas de archivos contiene los siguientes eventos:

  • 4608

  • 4660

  • 4688

  • 4696

  • 4826

  • 5024

  • 5033

  • 5058

  • 5059

  • 5061

  • 5382

  • 5379

La administración de grupos contiene los siguientes eventos:

  • 4732

  • 4798

  • 4799

  • 4733

  • 4731

  • 4734

  • 4735

La actividad del kernel contiene los siguientes eventos:

  • 4674