將 Azure 虛擬桌面資料連線至 Microsoft Sentinel
本文描述如何使用 Microsoft Sentinel 監視 Azure 虛擬桌面環境。
例如,監視您的 Azure 虛擬桌面環境可讓您使用虛擬化桌面提供更多遠端工作,同時保要組織的安全性態勢。
Microsoft Sentinel 中的 Azure 虛擬桌面資料
Microsoft Sentinel 中的 Azure 虛擬桌面資料包含下列類型:
| 資料 | 描述 |
|---|---|
| Windows 事件記錄 | 來自 Azure 虛擬桌面環境的 Windows 事件記錄會以與來自 Azure 虛擬桌面環境外的其他 Windows 機器的 Windows 事件記錄的相同方式,串流至已啟用 Microsoft Sentinel 的 Log Analytics 工作區。 將 Azure 監視器代理程式安裝到您的 Windows 機器,並將 Windows 事件記錄檔設定為傳送至 Log Analytics 工作區。 如需詳細資訊,請參閱 - 使用用戶端安裝程式在 Windows 用戶端裝置上安裝 Azure 監視器代理程式 - 使用 Azure 監視器代理程式收集 Windows 事件 - 透過 AMA 連接器 Windows 安全性 事件,Microsoft Sentinel |
| 適用於端點的 Microsoft Defender 警示 | 若要為 Azure 虛擬桌面設定適用於端點的 Defender,請使用與任何其他 Windows 端點的相同程序。 如需詳細資訊,請參閱: - 設定適用於端點的 Microsoft Defender 部署 - 將資料從 Microsoft Defender 全面偵測回應連線至 Microsoft Sentinel (部分機器翻譯) |
| Azure 虛擬桌面診斷 | Azure 虛擬桌面診斷是 Azure 虛擬桌面 PaaS 服務的一項功能,每當獲指派 Azure 虛擬桌面角色的人員使用該服務時,就會記錄資訊。 每個記錄都包含活動涉及哪些 Azure 虛擬桌面角色、工作階段期間出現的任何錯誤訊息、租用戶資訊和使用者資訊的相關資訊。 診斷功能會建立使用者和系統管理動作的活動記錄。 如需詳細資訊,請參閱對 Azure 虛擬桌面中的診斷功能使用 Log Analytics。 |
連線 Azure 虛擬桌面資料
若要開始將 Azure 虛擬桌面資料擷取至 Microsoft Sentinel,請使用 Azure 虛擬桌面文件中的指示。
如需詳細資訊,請參閱將 Azure 虛擬桌面資料推送至 Log Analytics 工作區。
尋找資料
建立成功的連線之後,請在 Microsoft Sentinel 中針對您的 Log Analytics 資料執行查詢。
例如,請參閱 Azure 虛擬桌面文件提供的範例查詢。
Microsoft Sentinel 也會在 [一般] > [記錄] > [Azure 虛擬桌面] 區域中提供內建查詢:
下一步
如需詳細資訊,請參閱適用於 Azure 虛擬桌面的 Azure 監視器詞彙。