將 Azure 虛擬桌面資料連線至 Microsoft Sentinel
本文說明如何使用 Microsoft Sentinel 監視 Azure 虛擬桌面環境。
例如,監視 Azure 虛擬桌面環境可讓您使用虛擬化桌面提供更多遠端工作,同時維護組織的安全性狀態。
Microsoft Sentinel 中的 Azure 虛擬桌面資料
Microsoft Sentinel 中的 Azure 虛擬桌面資料包含下列類型:
資料 | 描述 |
---|---|
Windows 事件記錄檔 | 來自 Azure 虛擬桌面環境的 Windows 事件記錄會以與來自 Azure 虛擬桌面環境以外其他 Windows 電腦之 Windows 事件記錄檔相同的方式串流至已啟用 Microsoft Sentinel 的 Log Analytics 工作區。 將 Log Analytics 代理程式安裝到您的 Windows 機器,並將 Windows 事件記錄檔設定為傳送至 Log Analytics 工作區。 如需詳細資訊,請參閱 - 在 Windows 電腦上安裝 Log Analytics 代理程式 - 使用 Log Analytics 代理程式收集 Windows 事件記錄資料來源 - 連線 Windows 安全性事件 |
適用於端點的 Microsoft Defender警示 | 若要設定適用于 Azure 虛擬桌面的 Defender,請使用與任何其他 Windows 端點相同的程式。 如需詳細資訊,請參閱: - 設定適用於端點的 Microsoft Defender 部署 - 連線從 Microsoft Defender 全面偵測回應 到 Microsoft Sentinel 的資料 |
Azure 虛擬桌面診斷 | Azure 虛擬桌面診斷是 Azure 虛擬桌面 PaaS 服務的一項功能,每當指派 Azure 虛擬桌面角色使用服務時,就會記錄資訊。 每個記錄都包含活動涉及哪些 Azure 虛擬桌面角色、會話期間出現的任何錯誤訊息、租使用者資訊和使用者資訊的相關資訊。 診斷功能會為使用者和系統管理動作建立活動記錄。 如需詳細資訊,請參閱 在 Azure 虛擬桌面 中使用 Log Analytics 進行診斷功能。 |
連線 Azure 虛擬桌面資料
若要開始將 Azure 虛擬桌面資料內嵌至 Microsoft Sentinel,請使用 Azure 虛擬桌面檔中的指示。
如需詳細資訊,請參閱 將 Azure 虛擬桌面資料推送至 Log Analytics 工作區 。
尋找資料
建立成功連線之後,請在 Microsoft Sentinel 中針對 Log Analytics 資料執行查詢。
例如,請參閱 Azure 虛擬桌面檔中 的 範例查詢。
Microsoft Sentinel 也提供一般 > 記錄 > Azure 虛擬桌面 區域中的內建查詢:
下一步
如需詳細資訊,請參閱適用于 Azure 虛擬桌面的 Azure 監視器詞彙 。