Compartilhar via


Melhores práticas de coleta de dados

Esta seção examina as práticas recomendadas para coletar dados usando conectores de dados do Microsoft Sentinel. Para saber mais, confira Conectar fontes de dados, Referência de conectores de dados do Microsoft Sentinel e o Catálogo de soluções do Microsoft Sentinel.

Priorize seus conectores de dados

Saiba como priorizar seus conectores de dados como parte do processo de implantação do Microsoft Sentinel.

Filtrar os logs antes da ingestão

Talvez você queira filtrar os logs coletados ou até mesmo o conteúdo do log antes que os dados sejam ingeridos no Microsoft Sentinel. Por exemplo, talvez você queira filtrar os logs que são irrelevantes ou não importantes para as operações de segurança, ou talvez queira remover detalhes indesejados das mensagens de log. Filtrar o conteúdo da mensagem também pode ser útil ao tentar reduzir os custos ao trabalhar com o Syslog, CEF ou logs baseados em Windows que têm muitos detalhes irrelevantes.

Filtre seus logs usando um dos seguintes métodos:

  • O Agente do Azure Monitor. Com suporte no Windows e no Linux para ingerir Eventos de segurança do Windows. Filtre os logs coletados configurando o agente para coletar apenas os eventos especificados.

  • Logstash. Dá suporte à filtragem de conteúdo de mensagens, incluindo alterações nas mensagens de log. Para saber mais, confira Conectar-se com Logstash.

Importante

O uso de Logstash para filtrar o conteúdo da mensagem fará com que os logs sejam ingeridos como logs personalizados, fazendo com que os logs de camada gratuita se tornem logs de camada paga.

Os logs personalizados também precisam ser trabalhados em regras de análise, busca de ameaças e pastas de trabalho, pois não são adicionadas automaticamente. Os logs personalizados também não têm suporte para funcionalidades de Machine Learning.

Requisitos alternativos de ingestão de dados

A configuração padrão para coleta de dados pode não funcionar bem para sua organização devido a vários desafios. As tabelas a seguir descrevem desafios ou requisitos comuns e possíveis soluções e considerações.

Observação

Muitas soluções listadas nas seções a seguir exigem um conector de dados personalizado. Para obter mais informações, confira Recursos para criar conectores personalizados do Microsoft Sentinel.

Coleta de log do Windows local

Desafio/requisito Soluções possíveis Considerações
Requer filtragem de log Usar Logstash

Usar o Azure Functions

Usar LogicApps

Usar código personalizado (.NET, Python)
Embora a filtragem possa levar à economia de custos e ingira apenas os dados necessários, não há suporte para alguns recursos do Azure Sentinel, como UEBA, páginas de entidades, aprendizado de máquina e fusão.

Ao configurar a filtragem de log, faça atualizações em recursos, como consultas de busca de ameaças e regras de análise
Não é possível instalar o agente Usar o Encaminhamento de Eventos do Windows, compatível com o Agente do Azure Monitor Usar o Encaminhamento de Eventos do Windows reduz os eventos de balanceamento de carga por segundo do coletor de eventos Windows de 10 mil eventos para 500-1000 eventos.
Os servidores não conseguiram se conectar à Internet Use o Gateway do Log Analytics Configurar um proxy para o agente requer regras de firewall adicionais para permitir que o gateway funcione.
Requer marcação e enriquecimento na ingestão Usar Logstash para injetar uma ResourceID

Usar um modelo do ARM para injetar a ResourceID em computadores locais

Ingerir a ID do recurso em workspaces separados
O Log Analytics não dá suporte a RBAC para tabelas personalizadas

O Microsoft Sentinel não dá suporte a RBAC em nível de linha

Dica: talvez você queira adotar o design e a funcionalidade entre workspaces para o Microsoft Sentinel.
Requer a divisão da operação e dos logs de segurança Usar a funcionalidade multi-home do Agente do Microsoft Monitor ou do Agente do Azure Monitor A funcionalidade de hospedagem múltipla requer mais sobrecarga de implantação para o agente.
Requer logs personalizados Coletar arquivos de caminhos de pasta específicos

Usar ingestão de API

Usar o PowerShell

Usar Logstash
Você pode ter problemas para filtrar os logs.

Não há suporte para métodos personalizados.

Conectores personalizados podem exigir habilidades de desenvolvedor.

Coleção de logs do Linux local

Desafio/requisito Soluções possíveis Considerações
Requer filtragem de log Usar syslog-NG

Usar Rsyslog

Usar a configuração FluentD para o agente

Usar o Agente do Azure Monitor/Microsoft Monitoring Agent

Usar Logstash
Algumas distribuições do Linux podem não ser compatíveis com o agente.

O uso do Syslog ou do FluentD requer conhecimento do desenvolvedor.

Para obter mais informações, confira Conexão a servidores Windows para coletar eventos de segurança e recursos para criar conectores personalizados do Microsoft Sentinel.
Não é possível instalar o agente Use um encaminhador de Syslog, como (syslog-ng ou rsyslog).
Os servidores não conseguiram se conectar à Internet Use o Gateway do Log Analytics Configurar um proxy para o agente requer regras de firewall adicionais para permitir que o gateway funcione.
Requer marcação e enriquecimento na ingestão Use o Logstash para enriquecimento ou métodos personalizados, como API ou Hubs de Eventos. Pode ser necessário um esforço extra para a filtragem.
Requer a divisão da operação e dos logs de segurança Use o Agente do Azure Monitor com a configuração de hospedagem múltipla.
Requer logs personalizados Crie um coletor personalizado usando o agente do Microsoft Monitoring (Log Analytics).

Soluções de ponto de extremidade

Se você precisar coletar logs de soluções de ponto de extremidade, como EDR, outros eventos de segurança, Sysmon e assim por diante, use um dos seguintes métodos:

  • Conector do Microsoft Defender XDR para coletar logs de Microsoft Defender para o ponto de extremidade. Essa opção gera custos extras para a ingestão de dados.
  • Encaminhamento de Eventos do Windows.

Observação

O balanceamento de carga reduz os eventos por segundo que podem ser processados no workspace.

Dados do Office

Se você precisar coletar dados do Microsoft Office, fora dos dados do conector padrão, use uma das seguintes soluções:

Desafio/requisito Soluções possíveis Considerações
Coletar dados brutos do Teams, rastreamento de mensagens, dados de phishing etc. Use a funcionalidade do conector Office 365 e crie um conector personalizado para outros dados brutos. Mapear eventos para a recordID correspondente pode ser um desafio.
Requer RBAC para dividir países/regiões, departamentos etc. Personalize sua coleta de dados adicionando marcas a dados e criando workspaces dedicados para cada separação necessária. A coleta de dados personalizada tem custos extras de ingestão.
Requer vários locatários em um só workspace Personalize sua coleta de dados usando o Azure LightHouse e uma exibição de incidente unificada. A coleta de dados personalizada tem custos extras de ingestão.

Para obter mais informações, confira Estender o Microsoft Sentinel entre workspaces e locatários.

Dados da plataforma de nuvem

Desafio/requisito Soluções possíveis Considerações
Filtrar logs de outras plataformas Usar Logstash

Usar o Agente do Azure Monitor/Microsoft Monitoring Agent (Log Analytics)
A coleta personalizada tem custos extras de ingestão.

Você pode ter um desafio de coletar todos os eventos Windows versus apenas eventos de segurança.
O agente não pode ser usado Usar Encaminhamento de Eventos do Windows Talvez seja necessário balancear a carga dos esforços em seus recursos.
Os servidores estão em uma rede com air-gap Use o gateway do Log Analytics Configurar um proxy para o agente requer regras de firewall para permitir que o gateway funcione.
RBAC, marcação e enriquecimento na ingestão Crie uma coleção personalizada por meio do Logstash ou da API do Log Analytics. O RBAC não é compatível com tabelas personalizadas

Não há suporte para RBAC em nível de linha para nenhuma tabela.

Próximas etapas

Para obter mais informações, consulte: