Creare Data Collection Rule con Azure ARC e Microsoft Sentinel per il monitoraggio dei sistemi operativi Windows on-premises

Microsoft mette a disposizione un servizio, a mio avviso, fondamentale che vi permette in maniera totalmente gratuita di “agganciare” macchine Windows on-premises ed eseguire delle Data Collection Rule per poi collezionare i log all’interno del SIEM della casa di Redmond.

In questo articolo Configurare Microsoft Sentinel per ricevere Log da dispositivi On-Premises – ICT Power vi avevo spiegato cosa è Microsoft Sentinel ed in che modo, attraverso Azure Monitoring Agent, collezionare i log in Microsoft Sentinel ed estenderne quindi la Retention ed automatizzare eventuali processi che altrimenti avreste dovuto eseguire in modo Manuale.

In questo articolo, vorrei invece darvi evidenza di come Azure ARC vi permette di “agganciare” macchine on-premise per eseguire delle Data Collection Rule, che vi permetteranno di conservare in Microsoft Sentinel solo determinate tipologie di eventi Windows.

Scenario

Nello scenario che vi darà evidenza di Azure ARC utilizzerò una virtual Machine On-Premises con il ruolo di Domain Controller, e collezioneremo eventi Windows con i seguenti ID 4624 e 4625.

A titolo informativo questi eventi indicano:

  • Event ID 4624: Login Eseguito Correttamente
  • Event ID 4625: Login Fallito

Il server con il ruolo di Domain Controller che andrò ad utilizzare per la demo sarà un Windows Server 2016 chiamato DC002

Figura 1: Domain Controller Demo

Naturalmente potete eseguire la data collection rule in base all’Event ID a voi consono, a questo proposito vi lascio il link ufficiale Microsoft per identificare gli event ID in base alla vostre necessità Capire gli ID evento controllo delle applicazioni – Windows Security | Microsoft Learn

A livello di licenze dovete necessariamente essere in possesso di una sottoscrizione Azure a consumo per la parte di Microsoft Sentinel, ma per l’uso di azure ARC per questo specifico scopo non sono necessarie licenze aggiuntive, vi lascio il link Microsoft che vi fornirà evidenza di quanto detto Capire gli ID evento controllo delle applicazioni – Windows Security | Microsoft Learn

Figura 2: Costo Azure Arc

Le operazioni che vedrete all’interno di questo articolo saranno le seguenti:

  • Configurazione Azure Arc sulla macchina Domain Controller On-premise
  • Creazione Data Collection Rule
  • Creazione KQL (Kusto Query) per indentificare gli eventi di Login Success e Login Failed

Ora che avete chiaro quali punti andrete a vedere comincio ad indicarvi il primo punto da affrontare Configurazione Azure Arc sulla macchina Domain Controller On-premise, recatevi all’interno di Azure Portal Home – Microsoft Azure

Figura 3: Azure Arc

Una volta che avrete selezionare Azure Arc, dovrete selezionare “ADD” sotto la voce “Add your infrastrucutre for Free

Figura 4: Azure Arc

Figura 5: Azure Arc

Ora, nel mio caso per la demo utilizzerò lo script per un singolo server in quanto il domain controller è uno soltanto

Figura 6: Azure Arc

Ora dovrete selezionare un Resource Group a cui “agganciare” il server, una Region che nel mio caso è West Europe e il metodo di connettività, che nel mio caso è Public Endpoint in quanto il server naviga in internet

Figura 7: Azure Arc

Ora potrete procedere in due modi:

  • Copiare lo Script ed eseguirlo via Powershell con diritti amministrativi
  • Eseguire il Download del file .ps1 ed eseguirlo sul server con diritti amministrativi

Il passaggio che ho effettuato io è il primo

Figura 8: Azure Arc

Figura 9: Azure Arc

Come evidenziato vi lascio il link ufficiale dove vengono identificati i prerequisiti a livello network per la comunicazione dell’Agent di Azure Arc Connected Machine agent network requirements – Azure Arc | Microsoft Learn

Figura 10: Onboarding Azure Arc

Figura 11: Onboarding Azure Arc

Figura 12: Onboarding Azure Arc

Vi verrà richiesto l’inserimento delle credenziali di Global Admin, verrà aperto quindi il Browser predefinito per l’inserimento delle stesse

Figura 13: Inserimento Credenziali Global Admin

Figura 14: Autenticazione Completata

Figura 15: Installazione Completata

Ora per verificare che il Server sia stato correttamente “agganciato” ad Azure Arc, recatevi all’interno del portale di Azure nella sezione Azure Arc

Figura 16: Azure Arc

Ora che avete a disposizione il domain controller, potete procedere a creare la Data Collection Rule, prima però dovrete aver attivato il connettore di Sentinel “Windows Security Event”

Figura 17: Attivazione Connettore Sentinel

Figura 18: Installazione Connettore Sentinel

Figura 19: Configurazione Data Connector Sentinel

Figura 20: Creazione Data Collection Rule

Figura 21: Creazione Data Collection Rule

Figura 22: Creazione Data Collection Rule

Ora come “Scope” selezionate il server “agganciato” precedentemente in Azure Arc

Figura 23: Creazione Data Collection Rule

Figura 24: Creazione Data Collection Rule

Ora dovrete inserire la regola “Custom” per collezzionare solo gli event ID necessari, la query è la seguente:

Security!*[System[(EventID=4624) or (EventID=4625)]

Figura 25: Creazione Data Collection Rule

A questo punto vedrete che il connettore installato passerà allo stato “Connected”

Figura 26: Stato Connettore Sentinel

Ora, grazie a questa Data Collection Rule, verranno registrati in Microsoft Sentinel solo gli eventi indicati, per verificare che effettivamente questa regola stia funzionando, potete eseguire una Kusto Query (KQL), per eseguirla

Figura 27: KQL EventID 4624

Figura 28: KQL EventID 4625

Conclusioni

Capite bene che utilizzare gli strumenti nativi messi a disposizione dalla casa di Redmond, vi permette in maniera semplice e veloce di configurare la collezione di eventi in base alle vostre esigenze.

Potete inoltre poi creare delle automazione in Microsoft Sentinel che vi permettono di rispondere in modo puntuale a determinate tipologie di eventi per risparmiare tempo in fase di analisi.

La funzionalità che avete visto in questo articolo vi permette anche di sfruttare appieno il SIEM di Microsoft anche per Server che risiedono nella vostra infrastruttura on-premise, avendo a piena disposizione eventi e sfruttando nel migliore dei modi anche tutta la parte di log collector e produrre delle dashboard personalizzate e fare hunting per eseguire discovery di vulnerabilità.