# Configuração de fonte para o Microsoft Windows Events
## Integrar com o Windows Events
Os logs do Microsoft Windows Events fornecem um sistema de log abrangente que registra eventos de sistema, segurança e aplicação nos sistemas operacionais Windows. O CloudWatch Pipeline usa a API do Log Analytics para recuperar, de servidores e estações de trabalho do Windows, informações sobre operações do sistema, eventos de segurança, atividades dos usuários e comportamentos das aplicações. A API do Log Analytics permite acesso aos dados de eventos por meio de consultas KQL (Kusto Query Language), permitindo a recuperar logs do Windows Events dos espaços de trabalho do Log Analytics.
## Autenticação no Windows Events
Para ler os logs de auditoria do Windows Events, o pipeline precisa ser autenticado na sua conta. O plug-in é compatível com autenticação OAuth2. Siga estas instruções para começar a usar o Microsoft Windows Events: APIs do Log Analytics.
+ Registre uma aplicação no Azure com os tipos de conta compatíveis; contas nesse diretório organizacional apenas (locatário único). Após a conclusão do registro, anote o ID da aplicação (cliente) e o ID do diretório (locatário).
+ Gere um novo segredo de cliente para a aplicação. O segredo do cliente é usado ao trocar um código de autorização por um token de acesso. Copie o valor secreto imediatamente, pois ele não será exibido novamente.
+ No AWS Secrets Manager, crie um segredo e armazene o ID da aplicação (cliente) com a chave `client_id` e o segredo do cliente com a chave `client_secret`.
+ Especifique as permissões de API que de que a aplicação precisa para acessar a API do Log Analytics. A permissão de que você precisa é: Data.Read: necessária para executar consultas KQL e ler dados de log dos espaços de trabalho do Log Analytics, incluindo logs do Windows Events.
+ Crie e configure um espaço de trabalho de analytics de logs: crie um espaço de trabalho no portal do Azure (Monitor → Espaços de trabalho do Log Analytics). Crie uma regra de coleta de dados (DCR) para especificar quais logs de eventos do Windows devem ser coletados (sistema, aplicação, segurança). Conecte servidores/VMs do Windows ao espaço de trabalho usando a DCR. Anote o ID do espaço de trabalho na página Visão geral do espaço de trabalho (necessário para consultas de API)
+ Conceda à aplicação acesso ao espaço de trabalho: navegue até o espaço de trabalho do Log Analytics → Controle de acesso (IAM). Atribua o perfil Leitor do Log Analytics à aplicação registrada. Esse perfil de RBAC funciona junto com a permissão da API para fornecer acesso seguro: o OAuth confirma os direitos de uso da API, enquanto o IAM confirma os direitos de acesso aos dados do espaço de trabalho.
## Configurar o CloudWatch Pipeline
Ao configurar o pipeline para ler logs, escolha o Microsoft Windows Events como a fonte de dados. Preencha as informações necessárias, como ID do locatário usando o ID do diretório (locatário) e o ID do espaço de trabalho (workspace\_id). Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.
## Classes de eventos do Open Cybersecurity Schema Framework compatíveis
Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos que são mapeados para Account Change (3001), Authentication (3002), Entity Management (3004), Event Log Activity (1008), File System Activity (1001), Group Management (3006) e Kernel Activity (1003).
**Account Change** inclui os seguintes eventos:
+ 4740
**Authentication** inclui os seguintes eventos:
+ 4624
+ 4625
+ 4634
+ 4647
+ 4648
+ 4649
+ 4672
**Entity Management** inclui os seguintes eventos:
+ 4616
+ 4907
+ 4719
+ 4902
**Event Log Activity** inclui os seguintes eventos:
+ 1100
+ 1102
+ 1104
+ 1105
**File System Activity** inclui os seguintes eventos:
+ 4608
+ 4660
+ 4688
+ 4696
+ 4826
+ 5024
+ 5033
+ 5058
+ 5059
+ 5061
+ 5382
+ 5379
**Group Management** inclui os seguintes eventos:
+ 4732
+ 4798
+ 4799
+ 4733
+ 4731
+ 4734
+ 4735
**Kernel Activity** inclui os seguintes eventos:
+ 4674