Osvědčené postupy pro shromažďování dat
Tato část popisuje osvědčené postupy pro shromažďování dat pomocí datových konektorů Microsoft Sentinelu. Další informace najdete v tématu Připojení zdrojů dat, referenčních informací k datovým konektorům Microsoft Sentinelu a katalogu řešení Microsoft Sentinel.
Určení priorit datových konektorů
Zjistěte, jak určit prioritu datových konektorů v rámci procesu nasazení Služby Microsoft Sentinel.
Filtrování protokolů před příjmem dat
Před ingestování dat do Služby Microsoft Sentinel můžete chtít filtrovat shromážděné protokoly nebo dokonce obsah protokolu. Můžete například chtít vyfiltrovat protokoly, které jsou pro operace zabezpečení irelevantní nebo nedůležité, nebo můžete chtít odebrat nežádoucí podrobnosti ze zpráv protokolu. Filtrování obsahu zpráv může být užitečné také při pokusu o snížení nákladů při práci s protokoly Syslog, CEF nebo Windows, které mají mnoho irelevantních podrobností.
Vyfiltrujte protokoly pomocí jedné z následujících metod:
Agent služby Azure Monitor. Podporuje se v systémech Windows i Linux k příjmu událostí zabezpečení Systému Windows. Vyfiltrujte protokoly shromážděné konfigurací agenta tak, aby shromažďovat pouze zadané události.
Logstash. Podporuje filtrování obsahu zpráv, včetně provádění změn zpráv protokolu. Další informace najdete v tématu Připojení pomocí Logstash.
Důležité
Použití Logstash k filtrování obsahu zprávy způsobí, že se protokoly ingestují jako vlastní protokoly, což způsobí, že všechny protokoly úrovně Free se stanou protokoly placené úrovně.
Vlastní protokoly je také potřeba pracovat na analytických pravidlech, proaktivním vyhledávání hrozeb a sešitech, protože se nepřidávají automaticky. Vlastní protokoly se také v současné době nepodporují pro funkce machine learningu .
Alternativní požadavky na příjem dat
Standardní konfigurace pro shromažďování dat nemusí pro vaši organizaci fungovat dobře, a to kvůli různým výzvám. Následující tabulky popisují běžné výzvy nebo požadavky a možná řešení a důležité informace.
Poznámka:
Řada řešení uvedených v následujících částech vyžaduje vlastní datový konektor. Další informace najdete v tématu Zdroje informací o vytváření vlastních konektorů Microsoft Sentinelu.
Místní shromažďování protokolů Windows
Výzva nebo požadavek | Možná řešení | Důležité informace |
---|---|---|
Vyžaduje filtrování protokolů. | Použití Logstash Použití Azure Functions Použití LogicApps Použití vlastního kódu (.NET, Python) |
Filtrování sice může vést k úsporám nákladů a ingestování jenom požadovaných dat, ale některé funkce Microsoft Sentinelu se nepodporují, například UEBA, stránky entit, strojové učení a fúzi. Při konfiguraci filtrování protokolů proveďte aktualizace v prostředcích, jako jsou dotazy proaktivního vyhledávání hrozeb a analytická pravidla. |
Agenta nelze nainstalovat. | Použití předávání událostí Windows, podporované s agentem služby Azure Monitor | Předávání událostí systému Windows snižuje události vyrovnávání zatížení za sekundu z kolekce událostí systému Windows z 10 000 událostí na 500–1000 událostí. |
Servery se nepřipojí k internetu | Použití brány Log Analytics | Konfigurace proxy serveru pro vašeho agenta vyžaduje další pravidla brány firewall, aby brána fungovala. |
Vyžaduje označování a rozšiřování při příjmu dat. | Použití Logstash k vložení ID prostředku Použití šablony ARM k vložení ID prostředku do místních počítačů Ingestování ID prostředku do samostatných pracovních prostorů |
Log Analytics nepodporuje RBAC pro vlastní tabulky Microsoft Sentinel nepodporuje řízení přístupu na úrovni řádků Tip: Pro Microsoft Sentinel můžete chtít použít návrh a funkce napříč pracovními prostory. |
Vyžaduje rozdělení operací a protokolů zabezpečení. | Použití multi-home funkce agenta Microsoft Monitor nebo agenta Azure Monitor | Vícedomátové funkce vyžadují pro agenta větší režii nasazení. |
Vyžaduje vlastní protokoly. | Shromažďování souborů z konkrétních cest ke složkám Použití příjmu dat rozhraní API Použití PowerShellu Použití Logstash |
Možná máte problémy s filtrováním protokolů. Vlastní metody nejsou podporované. Vlastní konektory můžou vyžadovat dovednosti vývojářů. |
Místní shromažďování protokolů Linuxu
Výzva nebo požadavek | Možná řešení | Důležité informace |
---|---|---|
Vyžaduje filtrování protokolů. | Použití syslog-NG Použití Rsyslogu Použití konfigurace FluentD pro agenta Použití agenta Azure Monitoru nebo agenta Microsoft Monitoring Agent Použití Logstash |
Některé linuxové distribuce nemusí agent podporovat. Použití Syslogu nebo FluentD vyžaduje znalosti vývojáře. Další informace najdete v tématu Připojení k serverům s Windows a shromažďování událostí zabezpečení a prostředků pro vytváření vlastních konektorů Microsoft Sentinelu. |
Agenta nelze nainstalovat. | Použijte nástroj pro předávání Syslog, například syslog-ng nebo rsyslog. | |
Servery se nepřipojí k internetu | Použití brány Log Analytics | Konfigurace proxy serveru pro vašeho agenta vyžaduje další pravidla brány firewall, aby brána fungovala. |
Vyžaduje označování a rozšiřování při příjmu dat. | Protokoly použijte k rozšiřování nebo k vlastním metodám, jako je rozhraní API nebo Event Hubs. | Je možné, že se vyžaduje další úsilí pro filtrování. |
Vyžaduje rozdělení operací a protokolů zabezpečení. | Použijte agenta Azure Monitoru s konfigurací vícenásobného navádění. | |
Vyžaduje vlastní protokoly. | Vytvořte vlastní kolektor pomocí agenta Microsoft Monitoring (Log Analytics). |
Řešení koncových bodů
Pokud potřebujete shromažďovat protokoly z řešení koncových bodů, jako je EDR, další události zabezpečení, Sysmon atd., použijte jednu z následujících metod:
- Konektor XDR v programu Microsoft Defender ke shromažďování protokolů z programu Microsoft Defender for Endpoint Tato možnost nese dodatečné náklady na příjem dat.
- Předávání událostí systému Windows
Poznámka:
Vyrovnávání zatížení snižuje počet událostí za sekundu, které je možné zpracovat do pracovního prostoru.
Data Office
Pokud potřebujete shromažďovat systém Microsoft Office data mimo standardní data konektoru, použijte jedno z následujících řešení:
Výzva nebo požadavek | Možná řešení | Důležité informace |
---|---|---|
Shromažďování nezpracovaných dat z Teams, trasování zpráv, phishingových dat atd. | Použijte integrované funkce konektoru Office 365 a pak vytvořte vlastní konektor pro jiná nezpracovaná data. | Mapování událostí na odpovídající ID záznamu může být náročné. |
Vyžaduje RBAC pro rozdělení zemí/oblastí, oddělení atd. | Přizpůsobte si shromažďování dat přidáním značek k datům a vytvořením vyhrazených pracovních prostorů pro každé potřebné oddělení. | Vlastní shromažďování dat má dodatečné náklady na příjem dat. |
Vyžaduje více tenantů v jednom pracovním prostoru. | Přizpůsobte shromažďování dat pomocí Azure LightHouse a jednotného zobrazení incidentu. | Vlastní shromažďování dat má dodatečné náklady na příjem dat. Další informace najdete v tématu Rozšíření služby Microsoft Sentinel mezi pracovními prostory a tenanty. |
Data cloudové platformy
Výzva nebo požadavek | Možná řešení | Důležité informace |
---|---|---|
Filtrování protokolů z jiných platforem | Použití Logstash Použití agenta Azure Monitoru / agenta Microsoft Monitoring (Log Analytics) |
Vlastní kolekce má dodatečné náklady na příjem dat. Možná budete mít potíže se shromažďováním všech událostí Windows vs. Pouze události zabezpečení. |
Agenta nelze použít. | Použití předávání událostí systému Windows | Možná budete muset vyrovnávat zatížení prostředků. |
Servery jsou v síti s mezerami vzduchu | Použití brány Log Analytics | Konfigurace proxy serveru pro vašeho agenta vyžaduje pravidla brány firewall, aby brána fungovala. |
RBAC, označování a rozšiřování při příjmu dat | Vytvořte vlastní kolekci přes Logstash nebo rozhraní LOG Analytics API. | RBAC se nepodporuje pro vlastní tabulky. Řízení přístupu na úrovni řádků není podporováno pro žádné tabulky. |
Další kroky
Další informace naleznete v tématu: