Procedimientos recomendados para la recopilación de datos
En esta sección se revisan los procedimientos recomendados para recopilar datos mediante conectores de datos de Microsoft Sentinel. Para obtener más información, vea Conexión de orígenes de datos, la referencia de conectores de datos de Microsoft Sentinel y el catálogo de soluciones de Microsoft Sentinel.
Priorización de sus conectores de datos
Aprenda a priorizar los conectores de datos como parte del proceso de implementación de Microsoft Sentinel.
Filtrado de los registros antes de la ingesta
Es posible que quiera filtrar los registros recopilados, o incluso el contenido de estos, antes de que los datos se ingieran en Microsoft Sentinel. Por ejemplo, puede que desee filtrar los registros que son irrelevantes o poco importantes para las operaciones de seguridad, o bien eliminar los detalles no deseados de los mensajes de registro. Filtrar el contenido de los mensajes también puede ser útil al intentar reducir los costes cuando se trabaja con registros Syslog, CEF o basados en Windows en archivos que tengan muchos detalles irrelevantes.
Filtre los registros usando uno de los siguientes métodos:
Agente de Azure Monitor. Se admite en Windows y Linux para ingerir eventos de seguridad del primero. Filtre los registros recopilados configurando el agente para recopilar solo los eventos especificados.
Logstash. Permite filtrar el contenido de mensajes y realizar cambios en los mensajes de registro. Para obtener más información, consulte Conexión con Logstash.
Importante
El uso de Logstash para filtrar el contenido de mensajes hará que sus registros se ingieran como registros personalizados, lo que a su vez provocará que los registros de nivel gratuito pasen a ser de nivel de pago.
Los registros personalizados también deben someterse a reglas de análisis, búsqueda de amenazas y libros, ya que no se agregan automáticamente. Los registros personalizados tampoco son actualmente compatibles con funcionalidades de aprendizaje automático.
Requisitos de ingesta de datos alternativos
Es posible que la configuración estándar de la recopilación de datos no ofrezca un buen resultado a su organización, debido a varias dificultades. En las siguientes tablas se describen desafíos o requisitos habituales y posibles soluciones y consideraciones.
Nota
Muchas soluciones enumeradas en las secciones siguientes requieren un conector de datos personalizado. Para obtener más información, vea Recursos para crear conectores personalizados de Microsoft Sentinel.
Recopilación local de registros de Windows
| Dificultad/requisito | Posibles soluciones | Consideraciones |
|---|---|---|
| Requiere filtrado de registros | Uso de Logstash Uso de Azure Functions Uso de LogicApps Use código personalizado (.NET o Python). |
Aunque el filtrado puede traducirse en ahorros de costo y solo ingiere los datos necesarios, algunas características de Microsoft Sentinel no son compatibles, como UEBA, las páginas de entidad, el aprendizaje automático y la fusión. Al configurar el filtrado de registros, realice actualizaciones en recursos como las consultas de búsqueda de amenazas y las reglas de análisis |
| No se puede instalar el agente | Use el reenvío de eventos de Windows junto con el agente de Azure Monitor. | El reenvío de eventos de Windows reduce los eventos de equilibrio de carga por segundo del recopilador de eventos de Windows, de 10 000 a 500-1000. |
| Los servidores no se conectan a Internet | Use la puerta de enlace de Log Analytics. | Para configurar un proxy a su agente, hacen falta reglas de firewall adicionales que permitan que la puerta de enlace funcione. |
| Requiere etiquetado y enriquecimiento en la ingesta | Uso de Logstash para insertar un ResourceID Uso de una plantilla de ARM para insertar ResourceID en máquinas locales Ingiera el Id. de recurso en áreas de trabajo independientes. |
Log Analytics no admite RBAC para tablas personalizadas Microsoft Sentinel no admite RBAC de nivel de fila Sugerencia: Es posible que quiera adoptar el diseño y la funcionalidad entre áreas de trabajo para Microsoft Sentinel. |
| Requiere dividir los registros operaciones y seguridad | Use la funcionalidad de hospedaje múltiple de Microsoft Monitoring Agent o del agente de Azure Monitor. | La funcionalidad de hospedaje múltiple requiere una mayor sobrecarga de implementación para el agente. |
| Requiere registros personalizados | Recopilación de archivos de rutas de acceso de carpetas específicas Uso de la ingesta de API Uso de PowerShell Use Logstash. |
Es posible que tenga problemas para filtrar los registros. No se admiten métodos personalizados. Los conectores personalizados pueden requerir aptitudes de desarrollador. |
Recopilación local de registros de Linux
| Dificultad/requisito | Posibles soluciones | Consideraciones |
|---|---|---|
| Requiere filtrado de registros | Uso de Syslog-NG Uso de Rsyslog Uso de la configuración de FluentD para el agente Uso del agente de Azure Monitor/Microsoft Monitoring Agent Use Logstash. |
Es posible que algunas distribuciones de Linux no sean compatibles con el agente. El uso de Syslog o FluentD requiere conocimientos de desarrollo. Para obtener más información, vea Conexión a servidores Windows para recopilar eventos de seguridad y Recursos para crear conectores personalizados de Microsoft Sentinel. |
| No se puede instalar el agente | Use un reenviador de Syslog, como (syslog-ng o rsyslog. | |
| Los servidores no se conectan a Internet | Use la puerta de enlace de Log Analytics. | Para configurar un proxy a su agente, hacen falta reglas de firewall adicionales que permitan que la puerta de enlace funcione. |
| Requiere etiquetado y enriquecimiento en la ingesta | Use Logstash para el enriquecimiento o métodos personalizados, como API o Event Hubs. | Es posible que el filtrado requiera un esfuerzo adicional. |
| Requiere dividir los registros operaciones y seguridad | Use el agente de Azure Monitor con la configuración de hospedaje múltiple. | |
| Requiere registros personalizados | Cree un recopilador personalizado usando Microsoft Monitoring Agent (Log Analytics). |
Soluciones de punto de conexión
Si necesita recopilar registros de soluciones de punto de conexión, como EDR, otros eventos de seguridad, Sysmon, etc., use uno de los siguientes métodos:
- Conector XDR de Microsoft Defender para recopilar registros de Microsoft Defender para punto de conexión. Esta opción conlleva costes adicionales por la ingesta de datos.
- Reenvío de eventos de Windows.
Nota
El equilibrio de carga reduce los eventos por segundo que se pueden procesar en el área de trabajo.
Datos de Office
Si necesita recopilar datos de Microsoft Office aparte de los del conector estándar, use una de las siguientes soluciones:
| Dificultad/requisito | Posibles soluciones | Consideraciones |
|---|---|---|
| Recopilación de datos sin procesar de Teams, seguimiento de mensajes, datos de phishing, etc. | Use la funcionalidad integrada del conector de Office 365 y cree un conector personalizado para otros datos sin procesar. | La asignación de eventos al Id. de registro correspondiente puede plantear dificultades. |
| Requiere RBAC para dividir países o regiones, departamentos, etc. | Personalice la recopilación de datos agregando etiquetas a los datos y creando áreas de trabajo dedicadas para cada separación necesaria. | La recopilación de datos personalizada tiene costes extras de ingesta. |
| Requiere varios inquilinos en una sola área de trabajo | Personalice la recopilación de datos usando Azure LightHouse y una vista unificada de incidentes. | La recopilación de datos personalizada tiene costes extras de ingesta. Para obtener más información, vea Extensión de Microsoft Sentinel entre áreas de trabajo e inquilinos. |
Datos de plataforma de nube
| Dificultad/requisito | Posibles soluciones | Consideraciones |
|---|---|---|
| Filtrado de registros de otras plataformas | Uso de Logstash Use el agente de Azure Monitor o Microsoft Monitoring Agent (Log Analytics). |
La recopilación personalizada tiene costes extras de ingesta. Es posible que tenga que recopilar todos los eventos de Windows o solo los de seguridad. |
| No se puede usar el agente | Use el reenvío de eventos de Windows. | Es posible que tenga que equilibrar la carga entre los recursos. |
| Los servidores están en redes separadas | Use la puerta de enlace de Log Analytics. | Para configurar un proxy a su agente, hacen falta reglas de firewall que permitan que la puerta de enlace funcione. |
| RBAC, etiquetado y enriquecimiento en la ingesta | Cree una recopilación personalizada a través de Logstash o la API de Log Analytics. | RBAC no se admite para tablas personalizadas RBAC de nivel de fila no es compatible con ninguna tabla. |
Pasos siguientes
Para más información, consulte: