Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasi sumber untuk Acara Microsoft Windows
## Integrasi dengan Windows Event
Microsoft Windows Event Logs menyediakan sistem logging komprehensif yang merekam peristiwa sistem, keamanan, dan aplikasi pada sistem operasi Windows. CloudWatch Pipeline menggunakan Log Analytics API untuk mengambil informasi tentang operasi sistem, peristiwa keamanan, aktivitas pengguna, dan perilaku aplikasi dari server dan workstation Windows. API Log Analytics memungkinkan akses ke data peristiwa melalui kueri KQL (Kusto Query Language), memungkinkan pengambilan log Peristiwa Windows dari ruang kerja Log Analytics.
## Mengautentikasi dengan Windows Event
Untuk membaca Windows Event Audit Log, pipeline perlu mengautentikasi dengan akun Anda. Plugin ini mendukung OAuth2 otentikasi. Ikuti petunjuk ini untuk memulai Microsoft Windows Event: Log Analytics APIs.
+ Daftarkan aplikasi di Azure dengan tipe akun yang didukung, Akun di direktori organisasi ini saja (Penyewa tunggal). Setelah pendaftaran selesai, catat ID Aplikasi (klien) dan ID Direktori (penyewa).
+ Hasilkan rahasia klien baru untuk aplikasi Anda. Rahasia klien digunakan saat menukar kode otorisasi untuk token akses. Salin nilai rahasia segera karena tidak akan ditampilkan lagi.
+ Di AWS Secrets Manager, buat rahasia dan simpan ID Aplikasi (klien) di bawah kunci `client_id` dan rahasia klien di bawah kunci`client_secret`.
+ Tentukan izin API yang diperlukan aplikasi Anda untuk mengakses Log Analytics API. Izin yang Anda butuhkan adalah: Data.Baca: Diperlukan untuk menjalankan kueri KQL dan membaca data log dari ruang kerja Log Analytics, termasuk log Peristiwa Windows.
+ Buat dan konfigurasikan Ruang Kerja Log Analytics: Buat ruang kerja di portal Azure (Monitor → Ruang kerja Log Analytics). Buat Aturan Pengumpulan Data (DCR) untuk menentukan Log Peristiwa Windows mana yang akan dikumpulkan (Sistem, Aplikasi, Keamanan). Hubungkan Windows Anda servers/VMs ke ruang kerja melalui DCR. Catat ID Ruang Kerja Anda dari halaman Ikhtisar ruang kerja (diperlukan untuk kueri API)
+ Berikan akses ruang kerja ke aplikasi Anda: Arahkan ke ruang kerja Log Analytics → Kontrol akses (IAM). Tetapkan peran Log Analytics Reader ke aplikasi terdaftar Anda. Peran RBAC ini bekerja sama dengan izin API untuk menyediakan akses aman: OAuth mengonfirmasi hak penggunaan API, sementara IAM mengonfirmasi hak akses data ruang kerja.
## Mengkonfigurasi Pipeline CloudWatch
Saat mengonfigurasi pipeline untuk membaca log, pilih Microsoft Windows Events sebagai sumber data. Isi informasi yang diperlukan seperti Id Penyewa menggunakan ID Direktori (penyewa) dan Id Ruang Kerja (workspace\_id). Setelah Anda membuat pipeline, data akan tersedia di grup CloudWatch log Log yang dipilih.
## Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung
Integrasi ini mendukung skema OCSF versi v1.5.0 dan peristiwa audit Windows yang dipetakan ke Perubahan Akun (3001), Otentikasi (3002), Manajemen Entitas (3004), Aktivitas Log Peristiwa (1008), Aktivitas Sistem File (1001), Manajemen Grup (3006), dan Aktivitas Kernel (1003).
**Perubahan Akun** berisi peristiwa berikut:
+ 4740
**Otentikasi** berisi peristiwa berikut:
+ 4624
+ 4625
+ 4634
+ 4647
+ 4648
+ 4649
+ 4672
**Manajemen Entitas** berisi peristiwa-peristiwa berikut:
+ 4616
+ 4907
+ 4719
+ 4902
**Aktivitas Log Peristiwa** berisi peristiwa berikut:
+ 1100
+ 1102
+ 1104
+ 1105
**Aktivitas Sistem File** berisi peristiwa-peristiwa berikut:
+ 4608
+ 4660
+ 4688
+ 4696
+ 4826
+ 5024
+ 5033
+ 5058
+ 5059
+ 5061
+ 5382
+ 5379
**Manajemen Grup** berisi peristiwa-peristiwa berikut:
+ 4732
+ 4798
+ 4799
+ 4733
+ 4731
+ 4734
+ 4735
**Aktivitas Kernel** berisi peristiwa-peristiwa berikut:
+ 4674