Поделиться через


Рекомендации по сбору данных

В этом разделе приводятся рекомендации по сбору данных с помощью соединителей данных Microsoft Sentinel. Дополнительные сведения см. в статьях Соединители данных Microsoft Sentinel, Найдите нужный соединитель данных Microsoft Sentinel и Каталог центра содержимого Microsoft Sentinel .

Определение приоритета соединителей данных

Узнайте, как определить приоритет соединителей данных в рамках процесса развертывания Microsoft Sentinel.

Фильтрация журналов до приема данных

Вы можете фильтровать собираемые сообщения журналов, и даже их содержимое, до их поступления в Microsoft Sentinel. Например, можно отфильтровывать несущественные или не важные с точки зрения безопасности записи либо удалять из сообщений журнала ненужные сведения. Фильтрация содержимого сообщений также помогает снизить затраты при работе с журналами Syslog, CEF или Windows, содержащими много ненужных сведений.

Для фильтрации журналов можно воспользоваться одним из перечисленных ниже методов.

  • Агент Azure Monitor. Поддерживается для приема событий безопасности Windows как в Windows, так и в Linux. Чтобы отфильтровать принимаемые из журналов сообщения, настройте агент для сбора только определенных событий.

  • Logstash. Поддерживает фильтрацию содержимого сообщений, включая внесение изменений в сообщения журнала. См. сведения о подключении к Logstash.

Внимание

При фильтрации содержимого сообщений с помощью Logstash записи журналов принимаются как нестандартные, в результате чего все сообщения журналов бесплатного уровня становятся журналами платного уровня.

Кроме того, нестандартные журналы потребуется вручную включить в правила аналитики, охоту на угрозы и книги, так как автоматически они туда не добавляются. В настоящее время нестандартные журналы также не поддерживаются функциями машинного обучения.

Альтернативные варианты приема данных

Стандартная конфигурация сбора данных может не подходить вашей организации по ряду факторов. В таблицах ниже описаны распространенные проблемы и требования вместе с возможными решениями и рекомендациями.

Примечание.

Для многих решений, перечисленных в следующих разделах, требуется настраиваемый соединитель данных. Дополнительные сведения см. в статье Ресурсы для создания пользовательских соединителей Microsoft Sentinel.

Локальный сбор сообщений из журналов Windows

Проблема или требование Возможные решения Рекомендации
Требуется фильтрация журналов Использование Logstash

Использование Функции Azure

Использование LogicApps

Используйте собственный код (.NET, Python)
Хотя фильтрация может привести к экономии затрат и прием только необходимых данных, некоторые функции Microsoft Sentinel не поддерживаются, такие как UEBA, страницы сущностей, машинное обучение и слияние.

При настройке фильтрации журналов внесите обновления в ресурсы, такие как запросы на поиск угроз и правила аналитики
Не удается установить агент Используйте пересылку событий Windows с помощью агента Azure Monitor Пересылка событий Windows уменьшает число событий балансировки нагрузки от сборщика событий Windows с 10 000 событий в секунду до 500–1000 событий.
Серверы не подключаются к Интернету Используйте шлюз Log Analytics При настройке прокси для агента шлюзу требуются дополнительные правила брандмауэра.
Требуется добавлять теги и обогащать принимаемые данные Использование Logstash для внедрения ResourceID

Использование шаблона ARM для внедрения ResourceID в локальные компьютеры

Настройте прием идентификатора ресурса в отдельные рабочие области
Log Analytics не поддерживает RBAC для пользовательских таблиц

Microsoft Sentinel не поддерживает RBAC уровня строк

Совет. Вы можете развернуть для Microsoft Sentinel конфигурацию и функции с несколькими рабочими областями.
Требуется разделять журналы операций и безопасности Используйте функции нескольких домашних узлов Microsoft Monitoring Agent или агента Azure Monitor При использовании нескольких домашних узлов необходимо дополнительно развертывать агент.
Требуется собирать определенные сообщения журналов Сбор файлов из определенных путей к папкам

Использование приема API

Использование PowerShell

Используйте Logstash
У вас могут возникнуть проблемы с фильтрацией журналов.

Пользовательские методы не поддерживаются.

Для использования настраиваемых соединителей могут потребоваться определенные навыки разработки.

Локальный сбор сообщений из журналов Linux

Проблема или требование Возможные решения Рекомендации
Требуется фильтрация журналов Использование Syslog-NG

Использование Rsyslog

Использование конфигурации FluentD для агента

Использование агента Azure Monitor или Агента Microsoft Monitoring Agent

Используйте Logstash
Некоторые дистрибутивы Linux могут не поддерживаться агентом.

Для использования syslog или FluentD потребуются навыки разработки.

Дополнительные сведения см. в разделе События безопасности Windows, использующие AMA и в статье Ресурсы для создания пользовательских соединителей Microsoft Sentinel.
Не удается установить агент Используйте сервер пересылки Syslog, например syslog-ng или rsyslog.
Серверы не подключаются к Интернету Используйте шлюз Log Analytics При настройке прокси для агента шлюзу требуются дополнительные правила брандмауэра.
Требуется добавлять теги и обогащать принимаемые данные Используйте Logstash для обогащения или пользовательских методов, таких как API или Центры событий. Для фильтрации могут потребоваться дополнительные действия.
Требуется разделять журналы операций и безопасности Используйте агент Azure Monitor в конфигурации с несколькими домашними узлами.
Требуется собирать определенные сообщения журналов Создайте настраиваемый сборщик с помощью агента Microsoft Monitoring Agent (Log Analytics).

Решения для конечных точек

Если вам необходимо собирать сообщения журналов из решений для конечных точек, таких как EDR, другие события безопасности, данные Sysmon и т. д., используйте один из описанных ниже методов.

  • Соединитель XDR в Microsoft Defender для сбора журналов из Microsoft Defender для конечной точки. В этой конфигурации прием данных связан с дополнительными затратами.
  • Пересылка событий Windows.

Примечание.

Балансировка нагрузки уменьшает число событий в секунду, которые могут быть обработаны в рабочей области.

Данные Office

Если вам требуется собирать данные Microsoft Office помимо информации, получаемой через обычные соединители, используйте одно из перечисленных ниже решений.

Проблема или требование Возможные решения Рекомендации
Сбор необработанных данных из Teams, данных трассировки сообщений, фишинговых данных и т. д. Используйте встроенные функции соединителя Office 365, а для других видов необработанных данных создайте нестандартный соединитель. Сопоставление событий с соответствующими идентификаторами recordID может оказаться непростой задачей.
Требуется RBAC для разделения стран и регионов, отделов и т. д. Настройте добавление тегов к собираемым данным и создайте отдельные рабочие области для каждого раздела. Настраиваемый сбор данных требует дополнительных затрат на прием.
Требуется использовать несколько арендаторов в одной рабочей области Настройте сбор данных с помощью Azure Lighthouse и единым представлением инцидентов. Настраиваемый сбор данных требует дополнительных затрат на прием.

См. статью Расширение Microsoft Sentinel между рабочими областями и арендаторами.

Данные облачной платформы

Проблема или требование Возможные решения Рекомендации
Фильтрация сообщений из журналов других платформ Использование Logstash

Используйте агент Azure Monitor или агент Microsoft Monitoring Agent (Log Analytics)
Настраиваемый сбор данных требует дополнительных затрат на прием.

Вам может потребоваться разделить сбор всех событий Windows и только событий безопасности.
Использовать агент невозможно Используйте пересылку событий Windows Вы можете сбалансировать нагрузку по ресурсам.
Серверы находятся в сети, отключенной от Интернета Используйте шлюз Log Analytics При настройке прокси для агента шлюзу требуются правила брандмауэра.
RBAC, добавление тегов и обогащение на этапе приемах данных Настройте сбор данных с помощью Logstash или API Log Analytics. RBAC не поддерживается для пользовательских таблиц

RBAC уровня строк не поддерживается для таблиц.

Дальнейшие действия

Дополнительные сведения см. в разделе: