Microsoft Sentinel용 Microsoft Active-Directory 도메인 컨트롤러 보안 이벤트 로그 커넥터
[옵션 3 및 4] - Azure Monitor 에이전트 사용 - Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 일부 또는 모든 도메인 컨트롤러 보안 이벤트 로그를 스트리밍할 수 있습니다. 이 연결을 사용하면 사용자 지정 경고를 만들고 조사를 개선할 수 있습니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | SecurityEvent |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | 커뮤니티 |
쿼리 샘플
모든 감사 로그
SecurityEvent
| sort by TimeGenerated
필수 조건
Microsoft Active-Directory 도메인 컨트롤러 보안 이벤트 로그와 통합하려면 다음이 있는지 확인합니다.
- ****: Azure Log Analytics는 사용되지 않으며, 비 Azure VM에서 데이터를 수집하려면 Azure Arc를 사용하는 것이 좋습니다. 자세한 정보
- 자세한 설명서: >참고: 설치 절차 및 사용에 대한 자세한 설명서는 여기에서 찾을 수 있습니다.
공급업체 설치 지침
참고 항목
이 솔루션은 옵션을 기반으로 합니다. 이렇게 하면 일부 옵션에서 매우 많은 양의 데이터를 생성할 수 있으므로 수집할 데이터를 선택할 수 있습니다. 통합 문서, 분석 규칙, 헌팅 기능에서 수집하고 추적할 항목에 따라 배포할 옵션을 선택합니다. 각 옵션은 서로 독립적입니다. 각 옵션에 관한 자세한 정보는 'Microsoft Exchange Security' wiki를 참조하세요.
이 데이터 커넥터는 위키의 옵션 3과 4 입니다.
- Microsoft Sentinel에 대한 로그를 수집하는 데 필요한 에이전트 다운로드 및 설치
서버 유형(Exchange 서버, Exchange 서버 또는 모든 도메인 컨트롤러에 연결된 도메인 컨트롤러)은 배포하려는 옵션에 따라 달라집니다.
도메인 컨트롤러의 보안 로그
도메인 컨트롤러의 보안 로그를 스트리밍하는 방법을 선택합니다. 옵션 3을 구현하려면 Exchange Server와 동일한 사이트에서 DC를 선택하기만 하면 됩니다. 옵션 4를 구현하려는 경우 포리스트의 모든 DC를 선택할 수 있습니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.