Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasi sumber untuk Acara Microsoft Windows
Integrasi dengan Windows Event
Microsoft Windows Event Logs menyediakan sistem logging komprehensif yang merekam peristiwa sistem, keamanan, dan aplikasi pada sistem operasi Windows. CloudWatch Pipeline menggunakan Log Analytics API untuk mengambil informasi tentang operasi sistem, peristiwa keamanan, aktivitas pengguna, dan perilaku aplikasi dari server dan workstation Windows. API Log Analytics memungkinkan akses ke data peristiwa melalui kueri KQL (Kusto Query Language), memungkinkan pengambilan log Peristiwa Windows dari ruang kerja Log Analytics.
Mengautentikasi dengan Windows Event
Untuk membaca Windows Event Audit Log, pipeline perlu mengautentikasi dengan akun Anda. Plugin ini mendukung OAuth2 otentikasi. Ikuti petunjuk ini untuk memulai Microsoft Windows Event: Log Analytics APIs.
Daftarkan aplikasi di Azure dengan tipe akun yang didukung, Akun di direktori organisasi ini saja (Penyewa tunggal). Setelah pendaftaran selesai, catat ID Aplikasi (klien) dan ID Direktori (penyewa).
Hasilkan rahasia klien baru untuk aplikasi Anda. Rahasia klien digunakan saat menukar kode otorisasi untuk token akses. Salin nilai rahasia segera karena tidak akan ditampilkan lagi.
Di AWS Secrets Manager, buat rahasia dan simpan ID Aplikasi (klien) di bawah kunci
client_iddan rahasia klien di bawah kunciclient_secret.Tentukan izin API yang diperlukan aplikasi Anda untuk mengakses Log Analytics API. Izin yang Anda butuhkan adalah: Data.Baca: Diperlukan untuk menjalankan kueri KQL dan membaca data log dari ruang kerja Log Analytics, termasuk log Peristiwa Windows.
Buat dan konfigurasikan Ruang Kerja Log Analytics: Buat ruang kerja di portal Azure (Monitor → Ruang kerja Log Analytics). Buat Aturan Pengumpulan Data (DCR) untuk menentukan Log Peristiwa Windows mana yang akan dikumpulkan (Sistem, Aplikasi, Keamanan). Hubungkan Windows Anda servers/VMs ke ruang kerja melalui DCR. Catat ID Ruang Kerja Anda dari halaman Ikhtisar ruang kerja (diperlukan untuk kueri API)
Berikan akses ruang kerja ke aplikasi Anda: Arahkan ke ruang kerja Log Analytics → Kontrol akses (IAM). Tetapkan peran Log Analytics Reader ke aplikasi terdaftar Anda. Peran RBAC ini bekerja sama dengan izin API untuk menyediakan akses aman: OAuth mengonfirmasi hak penggunaan API, sementara IAM mengonfirmasi hak akses data ruang kerja.
Mengkonfigurasi Pipeline CloudWatch
Saat mengonfigurasi pipeline untuk membaca log, pilih Microsoft Windows Events sebagai sumber data. Isi informasi yang diperlukan seperti Id Penyewa menggunakan ID Direktori (penyewa) dan Id Ruang Kerja (workspace_id). Setelah Anda membuat pipeline, data akan tersedia di grup CloudWatch log Log yang dipilih.
Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung
Integrasi ini mendukung skema OCSF versi v1.5.0 dan peristiwa audit Windows yang dipetakan ke Perubahan Akun (3001), Otentikasi (3002), Manajemen Entitas (3004), Aktivitas Log Peristiwa (1008), Aktivitas Sistem File (1001), Manajemen Grup (3006), dan Aktivitas Kernel (1003).
Perubahan Akun berisi peristiwa berikut:
4740
Otentikasi berisi peristiwa berikut:
4624
4625
4634
4647
4648
4649
4672
Manajemen Entitas berisi peristiwa-peristiwa berikut:
4616
4907
4719
4902
Aktivitas Log Peristiwa berisi peristiwa berikut:
1100
1102
1104
1105
Aktivitas Sistem File berisi peristiwa-peristiwa berikut:
4608
4660
4688
4696
4826
5024
5033
5058
5059
5061
5382
5379
Manajemen Grup berisi peristiwa-peristiwa berikut:
4732
4798
4799
4733
4731
4734
4735
Aktivitas Kernel berisi peristiwa-peristiwa berikut:
4674
