Configuração de fonte para o Microsoft Windows Events
Integrar com o Windows Events
Os logs do Microsoft Windows Events fornecem um sistema de log abrangente que registra eventos de sistema, segurança e aplicação nos sistemas operacionais Windows. O CloudWatch Pipeline usa a API do Log Analytics para recuperar, de servidores e estações de trabalho do Windows, informações sobre operações do sistema, eventos de segurança, atividades dos usuários e comportamentos das aplicações. A API do Log Analytics permite acesso aos dados de eventos por meio de consultas KQL (Kusto Query Language), permitindo a recuperar logs do Windows Events dos espaços de trabalho do Log Analytics.
Autenticação no Windows Events
Para ler os logs de auditoria do Windows Events, o pipeline precisa ser autenticado na sua conta. O plug-in é compatível com autenticação OAuth2. Siga estas instruções para começar a usar o Microsoft Windows Events: APIs do Log Analytics.
Registre uma aplicação no Azure com os tipos de conta compatíveis; contas nesse diretório organizacional apenas (locatário único). Após a conclusão do registro, anote o ID da aplicação (cliente) e o ID do diretório (locatário).
Gere um novo segredo de cliente para a aplicação. O segredo do cliente é usado ao trocar um código de autorização por um token de acesso. Copie o valor secreto imediatamente, pois ele não será exibido novamente.
No AWS Secrets Manager, crie um segredo e armazene o ID da aplicação (cliente) com a chave
client_ide o segredo do cliente com a chaveclient_secret.Especifique as permissões de API que de que a aplicação precisa para acessar a API do Log Analytics. A permissão de que você precisa é: Data.Read: necessária para executar consultas KQL e ler dados de log dos espaços de trabalho do Log Analytics, incluindo logs do Windows Events.
Crie e configure um espaço de trabalho de analytics de logs: crie um espaço de trabalho no portal do Azure (Monitor → Espaços de trabalho do Log Analytics). Crie uma regra de coleta de dados (DCR) para especificar quais logs de eventos do Windows devem ser coletados (sistema, aplicação, segurança). Conecte servidores/VMs do Windows ao espaço de trabalho usando a DCR. Anote o ID do espaço de trabalho na página Visão geral do espaço de trabalho (necessário para consultas de API)
Conceda à aplicação acesso ao espaço de trabalho: navegue até o espaço de trabalho do Log Analytics → Controle de acesso (IAM). Atribua o perfil Leitor do Log Analytics à aplicação registrada. Esse perfil de RBAC funciona junto com a permissão da API para fornecer acesso seguro: o OAuth confirma os direitos de uso da API, enquanto o IAM confirma os direitos de acesso aos dados do espaço de trabalho.
Configurar o CloudWatch Pipeline
Ao configurar o pipeline para ler logs, escolha o Microsoft Windows Events como a fonte de dados. Preencha as informações necessárias, como ID do locatário usando o ID do diretório (locatário) e o ID do espaço de trabalho (workspace_id). Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.
Classes de eventos do Open Cybersecurity Schema Framework compatíveis
Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos que são mapeados para Account Change (3001), Authentication (3002), Entity Management (3004), Event Log Activity (1008), File System Activity (1001), Group Management (3006) e Kernel Activity (1003).
Account Change inclui os seguintes eventos:
4740
Authentication inclui os seguintes eventos:
4624
4625
4634
4647
4648
4649
4672
Entity Management inclui os seguintes eventos:
4616
4907
4719
4902
Event Log Activity inclui os seguintes eventos:
1100
1102
1104
1105
File System Activity inclui os seguintes eventos:
4608
4660
4688
4696
4826
5024
5033
5058
5059
5061
5382
5379
Group Management inclui os seguintes eventos:
4732
4798
4799
4733
4731
4734
4735
Kernel Activity inclui os seguintes eventos:
4674
