Рекомендации по сбору данных
В этом разделе приводятся рекомендации по сбору данных с помощью соединителей данных Microsoft Sentinel. Дополнительные сведения см. в статьях Соединители данных Microsoft Sentinel, Найдите нужный соединитель данных Microsoft Sentinel и Каталог центра содержимого Microsoft Sentinel .
Определение приоритета соединителей данных
Узнайте, как определить приоритет соединителей данных в рамках процесса развертывания Microsoft Sentinel.
Фильтрация журналов до приема данных
Перед приемом данных в Microsoft Sentinel может потребоваться отфильтровать собранные журналы или даже содержимое журнала. Например, может потребоваться отфильтровать журналы, которые не имеют значения или не имеют значения для операций безопасности, или удалить нежелательные сведения из сообщений журнала. Фильтрация содержимого сообщения также может быть полезной при попытке сократить затраты при работе с системным журналом, CEF или журналами на основе Windows, которые имеют множество неуместных сведений.
Для фильтрации журналов можно воспользоваться одним из перечисленных ниже методов.
Агент Azure Monitor. Поддерживается для приема событий безопасности Windows как в Windows, так и в Linux. Чтобы отфильтровать принимаемые из журналов сообщения, настройте агент для сбора только определенных событий.
Logstash. Поддерживает фильтрацию содержимого сообщений, включая внесение изменений в сообщения журнала. См. сведения о подключении к Logstash.
Внимание
При фильтрации содержимого сообщений с помощью Logstash записи журналов принимаются как нестандартные, в результате чего все сообщения журналов бесплатного уровня становятся журналами платного уровня.
Кроме того, нестандартные журналы потребуется вручную включить в правила аналитики, охоту на угрозы и книги, так как автоматически они туда не добавляются. В настоящее время нестандартные журналы также не поддерживаются функциями машинного обучения.
Альтернативные варианты приема данных
Стандартная конфигурация для сбора данных может не работать в вашей организации из-за различных проблем. В таблицах ниже описаны распространенные проблемы и требования вместе с возможными решениями и рекомендациями.
Примечание.
Для многих решений, перечисленных в следующих разделах, требуется настраиваемый соединитель данных. Дополнительные сведения см. в статье Ресурсы для создания пользовательских соединителей Microsoft Sentinel.
Локальный сбор сообщений из журналов Windows
| Проблема или требование | Возможные решения | Рекомендации |
|---|---|---|
| Требуется фильтрация журналов | Использование Logstash Использование Функции Azure Использование LogicApps Используйте собственный код (.NET, Python) |
Хотя фильтрация может привести к экономии затрат и прием только необходимых данных, некоторые функции Microsoft Sentinel не поддерживаются, такие как UEBA, страницы сущностей, машинное обучение и слияние. При настройке фильтрации журналов внесите обновления в такие ресурсы, как запросы на поиск угроз и правила аналитики. |
| Не удается установить агент | Используйте пересылку событий Windows с помощью агента Azure Monitor | Пересылка событий Windows уменьшает число событий балансировки нагрузки от сборщика событий Windows с 10 000 событий в секунду до 500–1000 событий. |
| Серверы не подключаются к Интернету | Используйте шлюз Log Analytics | При настройке прокси для агента шлюзу требуются дополнительные правила брандмауэра. |
| Требуется добавлять теги и обогащать принимаемые данные | Использование Logstash для внедрения ResourceID Использование шаблона ARM для внедрения ResourceID в локальные компьютеры Настройте прием идентификатора ресурса в отдельные рабочие области |
Log Analytics не поддерживает управление доступом на основе ролей (RBAC) для пользовательских таблиц. Microsoft Sentinel не поддерживает RBAC уровня строк. Совет. Возможно, вам потребуется применить кросс-рабочую область и функциональность для Microsoft Sentinel. |
| Требуется разделять журналы операций и безопасности | Используйте функции нескольких домашних узлов Microsoft Monitoring Agent или агента Azure Monitor | При использовании нескольких домашних узлов необходимо дополнительно развертывать агент. |
| Требуется собирать определенные сообщения журналов | Сбор файлов из определенных путей к папкам Использование приема API Использование PowerShell Используйте Logstash |
Возможно, у вас возникли проблемы с фильтрацией журналов. Пользовательские методы не поддерживаются. Пользовательские соединители могут требовать навыки разработчика. |
Локальный сбор сообщений из журналов Linux
| Проблема или требование | Возможные решения | Рекомендации |
|---|---|---|
| Требуется фильтрация журналов | Использование Syslog-NG Использование Rsyslog Использование конфигурации FluentD для агента Использование агента Azure Monitor или Агента Microsoft Monitoring Agent Используйте Logstash |
Некоторые дистрибутивы Linux могут не поддерживаться агентом. Для использования syslog или FluentD потребуются навыки разработки. Дополнительные сведения см. в разделе События безопасности Windows, использующие AMA и в статье Ресурсы для создания пользовательских соединителей Microsoft Sentinel. |
| Не удается установить агент | Используйте сервер пересылки Syslog, например syslog-ng или rsyslog. | |
| Серверы не подключаются к Интернету | Используйте шлюз Log Analytics | При настройке прокси для агента шлюзу требуются дополнительные правила брандмауэра. |
| Требуется добавлять теги и обогащать принимаемые данные | Используйте Logstash для обогащения или пользовательских методов, таких как API или Центры событий. | Возможно, вам потребуется дополнительное усилие для фильтрации. |
| Требуется разделять журналы операций и безопасности | Используйте агент Azure Monitor в конфигурации с несколькими домашними узлами. | |
| Требуется собирать определенные сообщения журналов | Создайте настраиваемый сборщик с помощью агента Microsoft Monitoring Agent (Log Analytics). |
Решения для конечных точек
Если вам необходимо собирать сообщения журналов из решений для конечных точек, таких как EDR, другие события безопасности, данные Sysmon и т. д., используйте один из описанных ниже методов.
- Соединитель XDR в Microsoft Defender для сбора журналов из Microsoft Defender для конечной точки. В этой конфигурации прием данных связан с дополнительными затратами.
- Пересылка событий Windows.
Примечание.
Балансировка нагрузки уменьшает число событий в секунду, которые могут быть обработаны в рабочей области.
Данные Office
Если вам требуется собирать данные Microsoft Office помимо информации, получаемой через обычные соединители, используйте одно из перечисленных ниже решений.
| Проблема или требование | Возможные решения | Рекомендации |
|---|---|---|
| Сбор необработанных данных из Teams, данных трассировки сообщений, фишинговых данных и т. д. | Используйте встроенные функции соединителя Office 365, а для других видов необработанных данных создайте нестандартный соединитель. | Сопоставление событий с соответствующим идентификатором записи может быть сложной задачей. |
| Требуется RBAC для разделения стран и регионов, отделов и т. д. | Настройте добавление тегов к собираемым данным и создайте отдельные рабочие области для каждого раздела. | Настраиваемый сбор данных требует дополнительных затрат на прием. |
| Требуется использовать несколько арендаторов в одной рабочей области | Настройте сбор данных с помощью Azure Lighthouse и единым представлением инцидентов. | Настраиваемый сбор данных требует дополнительных затрат на прием. См. статью Расширение Microsoft Sentinel между рабочими областями и арендаторами. |
Данные облачной платформы
| Проблема или требование | Возможные решения | Рекомендации |
|---|---|---|
| Фильтрация сообщений из журналов других платформ | Использование Logstash Используйте агент Azure Monitor или агент Microsoft Monitoring Agent (Log Analytics) |
Настраиваемый сбор данных требует дополнительных затрат на прием. У вас может возникнуть проблема сбора всех событий Windows и только событий безопасности. |
| Использовать агент невозможно | Используйте пересылку событий Windows | Возможно, вам потребуется сбалансировать усилия по балансировке нагрузки между ресурсами. |
| Серверы находятся в сети, отключенной от Интернета | Используйте шлюз Log Analytics | При настройке прокси для агента шлюзу требуются правила брандмауэра. |
| RBAC, добавление тегов и обогащение на этапе приемах данных | Настройте сбор данных с помощью Logstash или API Log Analytics. | RBAC не поддерживается для пользовательских таблиц RBAC уровня строк не поддерживается для таблиц. |
Связанный контент
Дополнительные сведения см. в разделе: