如何从基于windows的Azure收集安全事件日志并在其之上创建警报？

Question

以下是一个学术性的问题。我不认为它有多少实际价值，因为它有更好的开箱即用的解决方案。

问题

如何从基于windows的Azure虚拟机收集安全事件并在其之上创建警报。这样，如果有更多的安全事件，比如每分钟30个安全事件，就会发出一封电子邮件？

采取1

• 创建日志分析工作区
• 添加虚拟机作为数据源(工作区数据源>虚拟机)
• 配置应该收集的数据(高级设置>数据> Windows事件日志)

但是，这不允许我添加安全事件(只有应用程序和系统事件)。

此智能包无法收集“安全性”事件日志，因为当前不支持“审核成功”和“审核失败”事件类型。

采取2

• 从VM本身启用诊断设置和从“日志”中选择“审核成功”和“审计失败”。
• 在数据接收器下启用"Azure Monitor“

现在查询Event或Event | where ComputerName == "vm1"之类的内容时，不会返回任何结果。这种方法似乎只向Azure Monitor发送度量，而不发送日志

编辑

好的，这是我到目前为止所发现的。

通过使用VM诊断设置，可以将安全事件写入存储帐户表，然后使用Log Analytics Workspace并将存储帐户添加为源。

然而，这仍然不能提供查询事件的能力。至少对我来说，Events表总是空的。数据似乎首先需要通过Azure Solution进行转换。然而，我找不到一个转换窗口事件。

要收集来自Windows的安全事件日志并对其作出反应，解决方案将是Azure Security Center。仍然不知道如何根据这个来创建一个警报.太让人困惑了。

Answer 1

我想你找到了答案，但对于那些不知道的人：

(是的，我同意这是令人困惑的，因为微软有指向几个位置的链接，在那里可以实现这一点，并且他们已经移动了配置菜单。)他们应该隐藏非典型的设置或者贴上“高级”的标签)

进入您的日志分析工作区。

打开“代理管理”。

下载并安装Windows代理。

就是这样，现在您正在收集所有与安全性相关的windows事件。

提示:您不需要进入日志分析高级部分并为windows配置任何附加的事件日志类型，除非您在事件ID相关日志的典型集合之外执行一些操作。

若要查看这些事件，请运行此查询：

SecurityEvent

或者如果你想要时间相关的东西：

SecurityEvent

TimeGenerated >ago(24小时)

\x{e76f} 10