Data collection best practices
Ez a szakasz a Microsoft Sentinel adatösszekötők használatával végzett adatgyűjtés ajánlott eljárásait ismerteti. További információ: Csatlakozás adatforrások, a Microsoft Sentinel adatösszekötők referenciája és a Microsoft Sentinel-megoldások katalógusa.
Az adatösszekötők rangsorolása
Megtudhatja, hogyan rangsorolhatja az adatösszekötőket a Microsoft Sentinel üzembe helyezési folyamatának részeként.
Naplók szűrése a betöltés előtt
Érdemes lehet szűrni az összegyűjtött naplókat, vagy akár naplótartalmakat is, mielőtt az adatok a Microsoft Sentinelbe kerülnének. Előfordulhat például, hogy ki szeretné szűrni a biztonsági műveletek szempontjából irreleváns vagy nem lényeges naplókat, vagy el szeretné távolítani a nem kívánt adatokat a naplóüzenetekből. Az üzenettartalmak szűrése akkor is hasznos lehet, ha olyan Syslog-, CEF- vagy Windows-alapú naplókkal dolgozik, amelyek sok irreleváns adatot tartalmaznak.
Szűrje a naplókat az alábbi módszerek egyikével:
Az Azure Monitor-ügynök. Windows és Linux rendszeren is támogatott a Windows biztonsági események betöltése. Szűrje az összegyűjtött naplókat úgy, hogy konfigurálja az ügynököt, hogy csak a megadott eseményeket gyűjtse össze.
Logstash. Támogatja az üzenettartalom szűrését, beleértve a naplóüzenetek módosítását is. További információ: Csatlakozás a Logstash használatával.
Fontos
Ha a Logstash segítségével szűri az üzenet tartalmát, a naplók egyéni naplókként lesznek betöltve, ami azt eredményezi, hogy az ingyenes szintű naplók fizetős szintű naplókká válnak.
Az egyéni naplókat elemzési szabályokkal, fenyegetéskereséssel és munkafüzetekkel is meg kell dolgozni, mivel azok nem lesznek automatikusan hozzáadva. Az egyéni naplók jelenleg nem támogatottak a gépi Tanulás képességekhez.
Alternatív adatbetöltési követelmények
A különböző kihívások miatt előfordulhat, hogy az adatgyűjtés standard konfigurációja nem működik megfelelően a szervezet számára. Az alábbi táblázatok a gyakori kihívásokat és követelményeket, valamint a lehetséges megoldásokat és szempontokat ismertetik.
Megjegyzés:
Az alábbi szakaszokban felsorolt számos megoldáshoz egyéni adatösszekötő szükséges. További információ: Erőforrások a Microsoft Sentinel egyéni összekötőinek létrehozásához.
Helyszíni Windows-naplógyűjtés
| Kihívás / követelmény | Possible solutions | Considerations |
|---|---|---|
| Naplószűrést igényel | A Logstash használata Az Azure Functions használata A LogicApps használata Egyéni kód használata (.NET, Python) |
Bár a szűrés költségmegtakarításhoz vezethet, és csak a szükséges adatokat használja fel, egyes Microsoft Sentinel-funkciók nem támogatottak, például az UEBA, az entitásoldalak, a gépi tanulás és a fúzió. Naplószűrés konfigurálásakor frissítéseket végezhet az erőforrásokban, például fenyegetéskeresési lekérdezésekben és elemzési szabályokban |
| Az ügynök nem telepíthető | Az Azure Monitor-ügynökkel támogatott Windows-eseménytovábbítás használata | A Windows-eseménytovábbítással másodpercenként csökken a terheléselosztási események száma a Windows eseménygyűjtőtől, 10 000 eseménytől 500-1000 eseményig. |
| A kiszolgálók nem csatlakoznak az internethez | A Log Analytics-átjáró használata | Ha proxyt konfigurál az ügynökhöz, további tűzfalszabályokra van szükség az átjáró működéséhez. |
| Címkézést és bővítést igényel a betöltéskor | ResourceID-azonosító beszúrása a Logstash használatával Arm-sablon használata a ResourceID helyszíni gépekbe történő injektálásához Az erőforrás-azonosító betöltése külön munkaterületekre |
A Log Analytics nem támogatja az RBAC-t egyéni táblákhoz A Microsoft Sentinel nem támogatja a sorszintű RBAC-t Tipp: Érdemes lehet munkaterületek közötti kialakítást és funkciókat alkalmazni a Microsoft Sentinelhez. |
| Felosztási műveletet és biztonsági naplókat igényel | A Microsoft Monitor Agent vagy az Azure Monitor Agent multi-home funkció használata | A több otthoni funkcióhoz több üzembe helyezési többletterhelés szükséges az ügynök számára. |
| Egyéni naplókra van szükség | Fájlok gyűjtése adott mappaelérési utakról API-betöltés használata A PowerShell használata A Logstash használata |
Előfordulhat, hogy problémái vannak a naplók szűrésével. Az egyéni metódusok nem támogatottak. Az egyéni összekötők fejlesztői készségeket igényelhetnek. |
Helyszíni Linux-naplógyűjtemény
| Kihívás / követelmény | Possible solutions | Considerations |
|---|---|---|
| Naplószűrést igényel | A Syslog-NG használata Az Rsyslog használata FluentD-konfiguráció használata az ügynökhöz Az Azure Monitor Agent/Microsoft Monitoring Agent használata A Logstash használata |
Előfordulhat, hogy az ügynök nem támogatja bizonyos Linux-disztribúciókat. A Syslog vagy a FluentD használatához fejlesztői ismeretekre van szükség. További információ: Csatlakozás Windows-kiszolgálókra, amelyek biztonsági eseményeket és erőforrásokat gyűjtenek a Microsoft Sentinel egyéni összekötőinek létrehozásához. |
| Az ügynök nem telepíthető | Használjon syslog-továbbítót, például (syslog-ng vagy rsyslog). | |
| A kiszolgálók nem csatlakoznak az internethez | A Log Analytics-átjáró használata | Ha proxyt konfigurál az ügynökhöz, további tűzfalszabályokra van szükség az átjáró működéséhez. |
| Címkézést és bővítést igényel a betöltéskor | A Logstash használata bővítéshez vagy egyéni módszerekhez, például API-hoz vagy Event Hubshoz. | Előfordulhat, hogy további erőfeszítésekre van szükség a szűréshez. |
| Felosztási műveletet és biztonsági naplókat igényel | Használja az Azure Monitor-ügynököt a többhelyes konfigurációval. | |
| Egyéni naplókra van szükség | Hozzon létre egy egyéni gyűjtőt a Microsoft Monitoring (Log Analytics) ügynökkel. |
Végpontmegoldások
Ha olyan végpontmegoldásokból kell naplókat gyűjtenie, mint például Végponti észlelés és reagálás, egyéb biztonsági események, Sysmon stb., használja az alábbi módszerek egyikét:
- Microsoft Defender XDR-összekötő a naplók gyűjtéséhez Végponthoz készült Microsoft Defender. Ez a beállítás többletköltséggel jár az adatbetöltéshez.
- Windows-eseménytovábbítás.
Megjegyzés:
A terheléselosztás másodpercenként csökkenti a munkaterületen feldolgozható eseményeket.
Office-adatok
Ha Microsoft Office-adatokat kell gyűjtenie a szabványos összekötők adatain kívül, használja az alábbi megoldások egyikét:
| Kihívás / követelmény | Possible solutions | Considerations |
|---|---|---|
| Nyers adatok gyűjtése a Teamsből, üzenetkövetés, adathalászati adatok stb. | Használja a beépített Office 365-összekötő funkciót, majd hozzon létre egy egyéni összekötőt más nyers adatokhoz. | Az eseményeknek a megfelelő recordID-hez való leképezése kihívást jelenthet. |
| RBAC-t igényel az országok/régiók, részlegek stb. felosztásához | Az adatgyűjtés testreszabásához címkéket adhat hozzá az adatokhoz, és dedikált munkaterületeket hozhat létre minden szükséges elkülönítéshez. | Az egyéni adatgyűjtés többletbetöltési költségekkel rendelkezik. |
| Több bérlőt igényel egy munkaterületen | Az adatgyűjtés testreszabása az Azure LightHouse és egy egységes incidensnézet használatával. | Az egyéni adatgyűjtés többletbetöltési költségekkel rendelkezik. További információ: A Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre. |
Felhőplatform-adatok
| Kihívás / követelmény | Possible solutions | Considerations |
|---|---|---|
| Naplók szűrése más platformokról | A Logstash használata Az Azure Monitor Agent/Microsoft Monitoring (Log Analytics) ügynök használata |
Az egyéni gyűjtemény többletbetöltési költségekkel rendelkezik. Előfordulhat, hogy kihívást jelent az összes Windows-esemény összegyűjtése és csak a biztonsági események összegyűjtése. |
| Az ügynök nem használható | Windows-eseménytovábbítás használata | Előfordulhat, hogy terheléselosztási erőfeszítéseket kell elvégeznie az erőforrások között. |
| A kiszolgálók légi hálózatban vannak | A Log Analytics-átjáró használata | Ha proxyt konfigurál az ügynökhöz, tűzfalszabályokra van szükség az átjáró működéséhez. |
| RBAC, címkézés és bővítés a betöltéskor | Egyéni gyűjtemény létrehozása a Logstash vagy a Log Analytics API használatával. | Az RBAC egyéni táblák esetében nem támogatott A sorszintű RBAC táblákhoz nem támogatott. |
További lépések
For more information, see: