Filtrar logs do Windows enviado para o Microsoft Sentinel

Recentemente eu escrevi um artigo sobre como receber os logs do AD on-premises no Microsoft Sentinel usando o Azure Monitor Agent (AMA) que permite usar regras de coleta de dados, onde você define quais dados deseja que cada agente colete.

Consulte o artigo Logs do AD on-premises no Microsoft Sentinel

Neste artigo vou explicar configurar uma regra de dados para selecionar os logs de eventos de segurança do Windows a ser coletados no Microsoft Sentinel.

Quais logs devo escolher receber ?

Quando estamos criando regras no “Create Data Collection Rule” temos 4 opções:

• All events – Todos os eventos do Windows Security e do App Locker.
• Common– Um conjunto padrão de eventos para fins de auditoria.
• Minimal – Um pequeno conjunto de eventos que podem indicar ameaças potenciais. Ao habilitar esta opção, você não poderá ter uma trilha de auditoria completa.
• Custom – permite filtrar e selecionar os eventos de segurança para transmitir usando consultas Xpath.

Os filtros customizados são criados usando as queries XPatch

Por exemplo, digamos que eu queira receber apenas os seguintes eventos:

Uma maneira muito simples de criar um filtro é usando o próprio Windows Event Viewer e selecionando os eventos listados:

Em seguida basta clicar na aba XML da janela que está gerando o filtro e copiar o XPath

“Security”>*[System[(EventID=4740 or EventID=4767 or EventID=4735 or EventID=4737 or EventID=4755 or EventID=4742 or EventID=4777 or EventID=4782)]]

No Microsoft Sentinel no conector WIndows Security Events via AMA, em “Create Data Collection Rule” basta colar o XPath copiado do Windows Event Viewer