我正在尝试从 Azure 日志分析中查找安全事件。但它没有采取 SecurityEvent 关键词。它给出错误“无法解析名为‘SecurityEvent’的表或列表达式”。
// Accounts Failed to Logon
// Counts failed logons by target account.
SecurityEvent
| where EventID == 4625
| summarize count() by TargetAccount
谢谢
最佳答案
正如 Oleh Tarasenko 建议的那样,如果您需要安全事件,则需要从安全中心启用它们。
请注意,安全事件是由 Azure 安全中心或 Azure Sentinel 从 Windows 计算机收集的。但是,Azure Monitor 代理目前不支持 VM 见解和 Azure 安全中心等解决方案和见解。当前支持的唯一方案是使用您配置的数据收集规则收集数据。
您可以使用 AMA 原生收集安全事件,与其他 Windows 事件一样。这些流向 Log Analytics 工作区中的“事件”表。
如果在工作区上启用了 Sentinel,安全事件将通过 AMA 流入“SecurityEvent”表(与使用 Log Analytics 代理相同)。这始终需要首先启用该解决方案。
供您引用,AMA 解决方案的可用性。
在 Azure Sentinel 中设置 Windows 安全事件连接器
在 Azure Sentinel 中收集 Windows 安全事件:
从 Azure Sentinel 导航菜单中,选择数据连接器。从连接器列表中,单击“安全事件”,然后单击右下角的“打开连接器页面”按钮。然后按照“说明”选项卡下的屏幕说明进行操作,如本节其余部分所述。
验证您是否拥有连接器页面先决条件部分中所述的适当权限。
下载并安装Log Analytics agent (也称为 Microsoft 监控代理或 MMA)位于要将安全事件流式传输到 Azure Sentinel 的计算机上。对于 Azure 虚拟机:
- 单击“在 Azure Windows 虚拟机上安装代理”,然后单击下面显示的链接。
- 对于要连接的每个虚拟机,在右侧显示的列表中单击其名称,然后单击“连接”。
对于非 Azure Windows 计算机(物理、本地虚拟或另一个云中的虚拟):
单击“在非 Azure Windows 计算机上安装代理”,然后单击下面显示的链接。
单击右侧“Windows 计算机”下显示的相应下载链接。
使用下载的可执行文件,在您选择的 Windows 系统上安装代理,并使用上述下载链接下方显示的工作区 ID 和 key 进行配置。
有关其他安装选项和更多详细信息,请参阅 Log Analytics agent documentation .
选择您要直播的事件集 ( All, Common, or Minimal )。
点击更新。
若要在 Log Analytics 中使用 Windows 安全事件的相关架构,请在查询窗口中键入 SecurityEvent。
验证连接
可能需要大约 20 分钟时间,您的日志才会开始显示在 Log Analytics 中。
完整文档:Connect Windows security event data to Azure Sentinel | Microsoft Docs
Azure 安全中心和 Azure Defender 现在称为 Microsoft Defender for Cloud,您可以引用 this用于向 Azure 安全中心启用安全事件的文档。
关于azure - 无法解析名为 'SecurityEvent' 的表或列表达式,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70034370/