View a markdown version of this page

Configuration de la source pour Microsoft Windows Events - Amazon CloudWatch
Intégration à Windows EventAuthentification avec Windows EventConfiguration du CloudWatch pipelineClasses d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la source pour Microsoft Windows Events

Intégration à Windows Event

Les journaux d'événements Microsoft Windows fournissent un système de journalisation complet qui enregistre les événements relatifs au système, à la sécurité et aux applications sur les systèmes d'exploitation Windows. CloudWatch Pipeline utilise l'API Log Analytics pour récupérer des informations sur le fonctionnement du système, les événements de sécurité, les activités des utilisateurs et les comportements des applications à partir de serveurs et de postes de travail Windows. L'API Log Analytics permet d'accéder aux données d'événements via des requêtes KQL (Kusto Query Language), ce qui permet de récupérer les journaux d'événements Windows à partir des espaces de travail de Log Analytics.

Authentification avec Windows Event

Pour lire les journaux d'audit des événements Windows, le pipeline doit s'authentifier auprès de votre compte. Le plugin prend en charge OAuth2 l'authentification. Suivez ces instructions pour démarrer avec Microsoft Windows Event : Log Analytics APIs.

  • Enregistrez une application dans Azure avec les types de comptes pris en charge, comptes dans ce répertoire d'organisation uniquement (locataire unique). Une fois l'enregistrement terminé, notez l'ID de l'application (client) et l'ID du répertoire (locataire).

  • Générez un nouveau secret client pour votre application. Le secret du client est utilisé lors de l'échange d'un code d'autorisation contre un jeton d'accès. Copiez immédiatement la valeur secrète car elle ne sera plus affichée.

  • Dans le AWS Secrets Manager, créez un secret et stockez l'ID de l'application (client) sous la clé client_id et le secret du client sous la cléclient_secret.

  • Spécifiez les autorisations d'API dont votre application a besoin pour accéder à l'API Log Analytics. L'autorisation dont vous avez besoin est la suivante : Data.Read : requise pour exécuter des requêtes KQL et lire les données des journaux depuis les espaces de travail Log Analytics, y compris les journaux d'événements Windows.

  • Création et configuration d'un espace de travail Log Analytics : créez un espace de travail dans le portail Azure (Monitor → Espaces de travail Log Analytics). Créez une règle de collecte de données (DCR) pour spécifier les journaux d'événements Windows à collecter (système, application, sécurité). Connectez votre Windows servers/VMs à l'espace de travail via le DCR. Notez votre identifiant d'espace de travail sur la page d'aperçu de l'espace de travail (obligatoire pour les requêtes d'API)

  • Accordez l'accès à l'espace de travail à votre application : accédez à votre espace de travail Log Analytics → Contrôle d'accès (IAM). Attribuez le rôle Log Analytics Reader à votre application enregistrée. Ce rôle RBAC fonctionne avec l'autorisation d'API pour fournir un accès sécurisé : OAuth confirme les droits d'utilisation de l'API, tandis que IAM confirme les droits d'accès aux données de l'espace de travail.

Configuration du CloudWatch pipeline

Lorsque vous configurez le pipeline pour lire les journaux, choisissez Microsoft Windows Events comme source de données. Renseignez les informations requises, telles que l'identifiant du locataire à l'aide de l'identifiant du répertoire (tenant) et de l'identifiant de l'espace de travail (workspace_id). Une fois le pipeline créé, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements d'audit Windows associés au changement de compte (3001), à l'authentification (3002), à la gestion des entités (3004), à l'activité du journal des événements (1008), à l'activité du système de fichiers (1001), à la gestion des groupes (3006) et à l'activité du noyau (1003).

Le changement de compte contient les événements suivants :

  • 4740

L'authentification contient les événements suivants :

  • 4624

  • 4625

  • 4634

  • 4647

  • 4648

  • 4649

  • 4672

La gestion des entités contient les événements suivants :

  • 4616

  • 4907

  • 4719

  • 4902

L'activité du journal des événements contient les événements suivants :

  • 1100

  • 1102

  • 1104

  • 1105

L'activité du système de fichiers contient les événements suivants :

  • 4608

  • 4660

  • 4688

  • 4696

  • 4826

  • 5024

  • 5033

  • 5058

  • 5059

  • 5061

  • 5382

  • 5379

La gestion des groupes contient les événements suivants :

  • 4732

  • 4798

  • 4799

  • 4733

  • 4731

  • 4734

  • 4735

L'activité du noyau contient les événements suivants :

  • 4674