Configurazione del codice sorgente per Microsoft Windows Events - Amazon CloudWatch
Integrazione con Windows EventAutenticazione con Windows EventConfigurazione della pipeline CloudWatchClassi di eventi Open Cybersecurity Schema Framework supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del codice sorgente per Microsoft Windows Events

Integrazione con Windows Event

I registri eventi di Microsoft Windows forniscono un sistema di registrazione completo che registra gli eventi di sistema, di sicurezza e delle applicazioni sui sistemi operativi Windows. CloudWatch Pipeline utilizza l'API Log Analytics per recuperare informazioni su operazioni di sistema, eventi di sicurezza, attività degli utenti e comportamenti delle applicazioni da server e workstation Windows. L'API Log Analytics consente l'accesso ai dati degli eventi tramite query KQL (Kusto Query Language), permettendo il recupero dei registri degli eventi di Windows dalle aree di lavoro di Log Analytics.

Autenticazione con Windows Event

Per leggere i registri di controllo degli eventi di Windows, la pipeline deve autenticarsi con il tuo account. Il plugin supporta l'autenticazione. OAuth2 Segui queste istruzioni per iniziare a usare Microsoft Windows Event: Log Analytics APIs.

  • Registra un'applicazione in Azure con tipi di account supportati, account solo in questa directory organizzativa (tenant singolo). Una volta completata la registrazione, annota l'ID dell'applicazione (client) e l'ID della directory (tenant).

  • Genera un nuovo client secret per la tua applicazione. Il client secret viene utilizzato quando si scambia un codice di autorizzazione per un token di accesso. Copia immediatamente il valore segreto poiché non verrà più visualizzato.

  • In AWS Secrets Manager, crea un segreto e archivia l'ID dell'applicazione (client) sotto la chiave client_id e il segreto del client sotto la chiaveclient_secret.

  • Specificate le autorizzazioni API richieste dall'applicazione per accedere all'API Log Analytics. L'autorizzazione necessaria è: Data.Read: necessaria per eseguire query KQL e leggere i dati di registro dalle aree di lavoro di Log Analytics, inclusi i registri degli eventi di Windows.

  • Creare e configurare un'area di lavoro di Log Analytics: crea un'area di lavoro nel portale di Azure (Monitor → Log Analytics workspaces). Crea una regola di raccolta dati (DCR) per specificare quali registri degli eventi di Windows raccogliere (sistema, applicazione, sicurezza). Connect Windows servers/VMs all'area di lavoro tramite DCR. Annota il tuo ID Workspace dalla pagina di panoramica dell'area di lavoro (richiesto per le query API)

  • Concedi l'accesso allo spazio di lavoro alla tua applicazione: vai all'area di lavoro di Log Analytics → Controllo degli accessi (IAM). Assegna il ruolo di Log Analytics Reader all'applicazione registrata. Questo ruolo RBAC collabora con l'autorizzazione API per fornire un accesso sicuro: OAuth conferma i diritti di utilizzo dell'API, mentre IAM conferma i diritti di accesso ai dati del workspace.

Configurazione della pipeline CloudWatch

Quando configurate la pipeline per leggere i log, scegliete Microsoft Windows Events come origine dati. Inserisci le informazioni richieste come l'ID del tenant utilizzando l'ID della directory (tenant) e l'ID dello spazio di lavoro (workspace_id). Una volta creata la pipeline, i dati saranno disponibili nel gruppo di log Logs selezionato. CloudWatch

Classi di eventi Open Cybersecurity Schema Framework supportate

Questa integrazione supporta la versione dello schema OCSF v1.5.0 e gli eventi di controllo di Windows associati a Account Change (3001), Authentication (3002), Entity Management (3004), Event Log Activity (1008), File System Activity (1001), Group Management (3006) e Kernel Activity (1003).

La modifica dell'account contiene i seguenti eventi:

  • 4740

L'autenticazione contiene i seguenti eventi:

  • 4624

  • 4625

  • 4634

  • 4647

  • 4648

  • 4649

  • 4672

Entity Management contiene i seguenti eventi:

  • 4616

  • 4907

  • 4719

  • 4902

L'attività del registro eventi contiene i seguenti eventi:

  • 1100

  • 1102

  • 1104

  • 1105

L'attività del file system contiene i seguenti eventi:

  • 4608

  • 4660

  • 4688

  • 4696

  • 4826

  • 5024

  • 5033

  • 5058

  • 5059

  • 5061

  • 5382

  • 5379

La gestione del gruppo contiene i seguenti eventi:

  • 4732

  • 4798

  • 4799

  • 4733

  • 4731

  • 4734

  • 4735

Kernel Activity contiene i seguenti eventi:

  • 4674