Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V této části se probírají osvědčené postupy pro shromažďování dat pomocí Microsoft Sentinel datových konektorů. Další informace najdete v tématech Připojení zdrojů dat, referenční informace k datovým konektorům Microsoft Sentinel a katalogu řešení Microsoft Sentinel.
Stanovení priorit datových konektorů
Zjistěte, jak v rámci procesu nasazení Microsoft Sentinel určit prioritu datových konektorů.
Filtrování protokolů před příjmem dat
Můžete chtít filtrovat shromážděné protokoly nebo dokonce obsah protokolu před tím, než se data ingestují do Microsoft Sentinel. Můžete například chtít odfiltrovat protokoly, které jsou irelevantní nebo nedůležité pro operace zabezpečení, nebo můžete chtít ze zpráv protokolu odebrat nežádoucí podrobnosti. Filtrování obsahu zpráv může být užitečné také při pokusu o snížení nákladů při práci s protokoly Syslog, CEF nebo Windows, které obsahují mnoho nepodstatných podrobností.
Protokoly můžete filtrovat pomocí jedné z následujících metod:
Agent Azure Monitor. Podporuje se ve Windows i Linux k ingestování událostí zabezpečení Windows. Filtrujte shromážděné protokoly tak, že nakonfigurujete agenta tak, aby shromažďovat pouze zadané události.
Logstash. Podporuje filtrování obsahu zpráv, včetně provádění změn zpráv protokolu. Další informace najdete v tématu Připojení pomocí Logstash.
Důležité
Filtrování obsahu zpráv pomocí Logstash způsobí, že se vaše protokoly ingestují jako vlastní protokoly, což způsobí, že se z protokolů bezplatné úrovně stanou protokoly placené úrovně.
Vlastní protokoly je také potřeba zapracovat do analytických pravidel, proaktivního vyhledávání hrozeb a sešitů, protože se nepřidávají automaticky. Funkce strojového učení v současné době nepodporují ani vlastní protokoly.
Alternativní požadavky na příjem dat
Standardní konfigurace pro shromažďování dat nemusí vaší organizaci kvůli různým výzvám fungovat dobře. Následující tabulky popisují běžné problémy nebo požadavky a možná řešení a aspekty.
Poznámka
Řada řešení uvedených v následujících částech vyžaduje vlastní datový konektor. Další informace najdete v tématu Prostředky pro vytváření Microsoft Sentinel vlastních konektorů.
Shromažďování místních protokolů Windows
| Výzva /požadavek | Možná řešení | Úvahy |
|---|---|---|
| Vyžaduje filtrování protokolů. | Použití Logstash Použití Azure Functions Použití LogicApps Použití vlastního kódu (.NET, Python) |
I když filtrování může vést k úsporám nákladů a ingestuje pouze požadovaná data, některé Microsoft Sentinel funkce, jako je UEBA, stránky entit, strojové učení a fúze, nejsou podporované. Při konfiguraci filtrování protokolů proveďte aktualizace prostředků, jako jsou dotazy proaktivního vyhledávání hrozeb a analytická pravidla. |
| Agenta nejde nainstalovat. | Použití předávání událostí windows podporovaného agentem Azure Monitor | Při předávání událostí systému Windows se snižují události vyrovnávání zatížení z kolektoru událostí systému Windows za sekundu z 10 000 událostí na 500 až 1 000 událostí. |
| Servery se nepřipojí k internetu | Použití brány Log Analytics | Konfigurace proxy serveru pro agenta vyžaduje další pravidla brány firewall, aby brána fungovala. |
| Při příjmu dat vyžaduje označování a rozšiřování. | Použití Logstash k vložení ID prostředku Vložení ID prostředku do místních počítačů pomocí šablony ARM Ingestování ID prostředku do samostatných pracovních prostorů |
Log Analytics nepodporuje řízení přístupu na základě role (RBAC) pro vlastní tabulky. Microsoft Sentinel nepodporuje řízení přístupu na základě role na úrovni řádků. Tip: Pro Microsoft Sentinel můžete chtít použít návrh a funkce napříč pracovními prostory. |
| Vyžaduje rozdělení operací a protokolů zabezpečení. | Použití funkce Microsoft Monitor Agent nebo Azure Monitor Agent pro více domů | Funkce s více domovy vyžadují pro agenta vyšší režii za nasazení. |
| Vyžaduje vlastní protokoly. | Shromažďování souborů z konkrétních cest ke složkám Použití příjmu dat rozhraní API Použití PowerShellu Použití Logstash |
Možná máte problémy s filtrováním protokolů. Vlastní metody se nepodporují. Vlastní konektory můžou vyžadovat vývojářské dovednosti. |
Shromažďování protokolů místního Linux
| Výzva /požadavek | Možná řešení | Úvahy |
|---|---|---|
| Vyžaduje filtrování protokolů. | Použití syslog-NG Použití Rsyslogu Použití konfigurace FluentD pro agenta Použití agenta Azure Monitor nebo agenta Microsoft Monitoring Agent Použití Logstash |
Některé Linux distribuce nemusí agent podporovat. Použití Syslogu nebo FluentD vyžaduje znalosti vývojářů. Další informace najdete v tématu Připojení k serverům s Windows za účelem shromažďování událostí zabezpečení a prostředků pro vytváření Microsoft Sentinel vlastních konektorů. |
| Agenta nejde nainstalovat. | Použijte nástroj pro předávání Syslog, například (syslog-ng nebo rsyslog. | |
| Servery se nepřipojí k internetu | Použití brány Log Analytics | Konfigurace proxy serveru pro agenta vyžaduje další pravidla brány firewall, aby brána fungovala. |
| Při příjmu dat vyžaduje označování a rozšiřování. | Protokoly můžete použít k rozšiřování nebo k vlastním metodám, jako je rozhraní API nebo Event Hubs. | Filtrování může vyžadovat zvýšené úsilí. |
| Vyžaduje rozdělení operací a protokolů zabezpečení. | Použijte agenta Azure Monitor s konfigurací vícenásobného navádění. | |
| Vyžaduje vlastní protokoly. | Vytvořte vlastní kolektor pomocí agenta Microsoft Monitoring (Log Analytics). |
Řešení koncových bodů
Pokud potřebujete shromažďovat protokoly z řešení koncových bodů, jako je EDR, další události zabezpečení, Sysmon atd., použijte jednu z následujících metod:
- Microsoft Defender XDR konektor pro shromažďování protokolů z Microsoft Defender for Endpoint. Tato možnost účtují další náklady na příjem dat.
- Předávání událostí systému Windows.
Poznámka
Vyrovnávání zatížení snižuje počet událostí za sekundu, které je možné zpracovat do pracovního prostoru.
Data Office
Pokud potřebujete shromažďovat data Microsoft Office, použijte mimo standardní data konektoru jedno z následujících řešení:
| Výzva /požadavek | Možná řešení | Úvahy |
|---|---|---|
| Shromažďování nezpracovaných dat z Teams, trasování zpráv, phishingových dat atd. | Použijte integrovanou funkci konektoru Office 365 a pak vytvořte vlastní konektor pro další nezpracovaná data. | Mapování událostí na odpovídající ID záznamu může být náročné. |
| Vyžaduje RBAC pro rozdělení zemí/oblastí, oddělení atd. | Přizpůsobte si shromažďování dat přidáním značek k datům a vytvořením vyhrazených pracovních prostorů pro každé oddělení. | Vlastní shromažďování dat má dodatečné náklady na příjem dat. |
| Vyžaduje více tenantů v jednom pracovním prostoru. | Přizpůsobte si shromažďování dat pomocí Azure LightHouse a jednotného zobrazení incidentů. | Vlastní shromažďování dat má dodatečné náklady na příjem dat. Další informace najdete v tématu Rozšíření Microsoft Sentinel napříč pracovními prostory a tenanty. |
Data cloudové platformy
| Výzva /požadavek | Možná řešení | Úvahy |
|---|---|---|
| Filtrování protokolů z jiných platforem | Použití Logstash Použití agenta Azure Monitor nebo agenta Microsoft Monitoring (Log Analytics) |
Vlastní kolekce má dodatečné náklady na příjem dat. Může se stát, že budete mít problém se shromažďováním všech událostí Windows a pouze událostí zabezpečení. |
| Agenta nelze použít. | Použití předávání událostí systému Windows | Možná budete muset vyrovnávat zatížení prostředků. |
| Servery jsou ve vzduchové síti | Použití brány Log Analytics | Konfigurace proxy serveru pro agenta vyžaduje pravidla brány firewall, aby brána fungovala. |
| RBAC, označování a rozšiřování při příjmu dat | Vytvořte vlastní kolekci prostřednictvím logstash nebo rozhraní LOG Analytics API. | RBAC se nepodporuje u vlastních tabulek. Řízení přístupu na základě role na úrovni řádků se nepodporuje pro žádné tabulky. |
Související obsah
Další informace najdete tady: