Quellkonfiguration für Microsoft Windows Events - Amazon CloudWatch
Integration mit Windows EventAuthentifizierung mit Windows EventKonfiguration der Pipeline CloudWatchUnterstützte Open Cybersecurity Schema Framework-Eventklassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Quellkonfiguration für Microsoft Windows Events

Integration mit Windows Event

Microsoft Windows-Ereignisprotokolle bieten ein umfassendes Protokollierungssystem, das System-, Sicherheits- und Anwendungsereignisse auf Windows-Betriebssystemen aufzeichnet. CloudWatch Pipeline verwendet die Log Analytics-API, um Informationen über Systemvorgänge, Sicherheitsereignisse, Benutzeraktivitäten und Anwendungsverhalten von Windows-Servern und -Arbeitsstationen abzurufen. Die Log Analytics-API ermöglicht den Zugriff auf Ereignisdaten über KQL-Abfragen (Kusto Query Language) und ermöglicht so das Abrufen von Windows-Ereignisprotokollen aus Log Analytics-Arbeitsbereichen.

Authentifizierung mit Windows Event

Um Windows-Ereignisüberwachungsprotokolle lesen zu können, muss sich die Pipeline mit Ihrem Konto authentifizieren. Das Plugin unterstützt die OAuth2 Authentifizierung. Folgen Sie diesen Anweisungen, um mit Microsoft Windows Event: Log Analytics zu beginnen APIs.

  • Registrieren Sie eine Anwendung in Azure mit unterstützten Kontotypen, Konten nur in diesem Organisationsverzeichnis (Einzelmandant). Notieren Sie sich nach Abschluss der Registrierung die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant).

  • Generieren Sie ein neues Client-Geheimnis für Ihre Anwendung. Das Client-Geheimnis wird verwendet, wenn ein Autorisierungscode gegen ein Zugriffstoken ausgetauscht wird. Kopieren Sie den geheimen Wert sofort, da er nicht erneut angezeigt wird.

  • Erstellen Sie in der AWS Secrets Manager ein Geheimnis und speichern Sie die Anwendungs-ID (Client) unter dem Schlüssel client_id und das Client-Geheimnis unter dem Schlüsselclient_secret.

  • Geben Sie die API-Berechtigungen an, die Ihre Anwendung für den Zugriff auf die Log Analytics-API benötigt. Die Berechtigung, die Sie benötigen, ist: Data.Read: Erforderlich, um KQL-Abfragen auszuführen und Protokolldaten aus Log Analytics-Arbeitsbereichen, einschließlich Windows-Ereignisprotokollen, zu lesen.

  • Einen Log Analytics-Arbeitsbereich erstellen und konfigurieren: Erstellen Sie einen Arbeitsbereich im Azure-Portal (Überwachen → Log Analytics-Arbeitsbereiche). Erstellen Sie eine Datenerfassungsregel (DCR), um anzugeben, welche Windows-Ereignisprotokolle erfasst werden sollen (System, Anwendung, Sicherheit). Connect Sie Ihr Windows über servers/VMs den DCR mit dem Workspace. Notieren Sie sich Ihre Workspace-ID auf der Workspace-Übersichtsseite (erforderlich für API-Abfragen)

  • Gewähren Sie Workspace-Zugriff auf Ihre Anwendung: Navigieren Sie zu Ihrem Log Analytics-Workspace → Zugriffskontrolle (IAM). Weisen Sie Ihrer registrierten Anwendung die Rolle Log Analytics Reader zu. Diese RBAC-Rolle sorgt zusammen mit der API-Berechtigung für sicheren Zugriff: Sie OAuth bestätigt die API-Nutzungsrechte, während IAM die Zugriffsrechte auf Workspace-Daten bestätigt.

Konfiguration der Pipeline CloudWatch

Wenn Sie die Pipeline für das Lesen von Protokollen konfigurieren, wählen Sie Microsoft Windows Events als Datenquelle. Geben Sie die erforderlichen Informationen wie die Mandanten-ID mithilfe der Verzeichnis-ID (Mandanten-ID) und die Workspace-ID (workspace_id) ein. Sobald Sie die Pipeline erstellt haben, sind die Daten in der ausgewählten CloudWatch Protokollgruppe Logs verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und Windows-Auditereignisse, die Kontoänderung (3001), Authentifizierung (3002), Entitätsverwaltung (3004), Ereignisprotokollaktivität (1008), Dateisystemaktivität (1001), Gruppenverwaltung (3006) und Kernelaktivität (1003) zugeordnet sind.

Account Change beinhaltet die folgenden Ereignisse:

  • 4740

Die Authentifizierung umfasst die folgenden Ereignisse:

  • 4624

  • 4625

  • 4634

  • 4647

  • 4648

  • 4649

  • 4672

Entity Management umfasst die folgenden Ereignisse:

  • 4616

  • 4907

  • 4719

  • 4902

Die Aktivität im Ereignisprotokoll enthält die folgenden Ereignisse:

  • 1100

  • 1102

  • 1104

  • 1105

Die Dateisystemaktivität umfasst die folgenden Ereignisse:

  • 4 608

  • 4660

  • 4688

  • 4696

  • 4826

  • 5024

  • 5033

  • 5058

  • 5059

  • 5061

  • 5382

  • 5379

Die Gruppenverwaltung umfasst die folgenden Ereignisse:

  • 4732

  • 4798

  • 4799

  • 4733

  • 4731

  • 4734

  • 4735

Die Kernelaktivität umfasst die folgenden Ereignisse:

  • 4674