Praktik terbaik pengumpulan data
Bagian ini mengulas praktik terbaik untuk mengumpulkan data menggunakan konektor data Microsoft Azure Sentinel. Untuk mengetahui informasi selengkapnya, lihat Menghubungkan sumber data, Referensi konektor data Microsoft Sentinel, dan Katalog solusi Microsoft Sentinel.
Prioritaskan konektor data Anda
Pelajari cara memprioritaskan konektor data Anda sebagai bagian dari proses penyebaran Microsoft Azure Sentinel.
Memfilter log Anda sebelum penyerapan
Anda mungkin ingin memfilter log yang dikumpulkan, atau bahkan konten log, sebelum data diserap ke Microsoft Azure Sentinel. Misalnya, Anda mungkin ingin memfilter log yang tidak relevan atau tidak penting bagi operasi keamanan, atau Anda mungkin ingin menghapus detail yang tidak diinginkan dari pesan log. Memfilter konten pesan juga dapat membantu ketika mencoba menurunkan biaya saat menggunakan log berbasis Syslog, CEF, atau Windows yang memiliki banyak detail yang tidak relevan.
Filter log Anda menggunakan salah satu metode berikut:
Agen Azure Monitor. Didukung pada Windows dan Linux untuk menyerap peristiwa keamanan Windows. Filter log yang dikumpulkan dengan mengonfigurasi agen untuk mengumpulkan peristiwa yang ditentukan saja.
Logstash. Mendukung pemfilteran konten pesan, termasuk membuat perubahan pada pesan log. Untuk informasi selengkapnya, lihat Terhubung dengan Logstash.
Penting
Menggunakan Logstash untuk memfilter konten pesan Anda akan menyebabkan log Anda terserap sebagai log khusus, menyebabkan log tingkat gratis menjadi log tingkat berbayar.
Log khusus juga perlu dimasukkan ke dalam aturan analisis, perburuan ancaman, dan buku kerja, karena tidak ditambahkan secara otomatis. Log khusus saat ini juga tidak didukung untuk kemampuan Pembelajaran Mesin.
Persyaratan penyerapan data alternatif
Konfigurasi standar untuk pengumpulan data mungkin tidak berfungsi dengan baik untuk organisasi Anda, karena berbagai tantangan. Tabel berikut menggambarkan tantangan atau persyaratan umum, dan kemungkinan solusi dan pertimbangan.
Catatan
Banyak solusi yang tercantum di bagian berikut memerlukan konektor data kustom. Untuk informasi selengkapnya, lihat Sumber daya untuk membuat konektor khusus Microsoft Azure Sentinel.
Kumpulan log Windows lokal
| Tantangan/Persyaratan | Solusi yang memungkinkan | Pertimbangan |
|---|---|---|
| Memerlukan pemfilteran log | Menggunakan Logstash Menggunakan Azure Functions Menggunakan LogicApps Menggunakan kode khusus (.NET, Python) |
Meskipun pemfilteran dapat menyebabkan penghematan biaya, dan hanya menyerap data yang diperlukan, beberapa fitur Microsoft Azure Sentinel tidak didukung, seperti UEBA, halaman entitas, pembelajaran mesin, dan fusi. Saat mengonfigurasi pemfilteran log, buat pembaruan dalam sumber daya seperti kueri perburuan ancaman dan aturan analitik |
| Agen tidak dapat diinstal | Gunakan Penerusan Peristiwa Windows, didukung dengan Agen Azure Monitor | Menggunakan penerusan Peristiwa Windows dapat menurunkan peristiwa penyeimbangan beban per detik dari Windows Event Collector, dari 10.000 peristiwa menjadi 500-1000 peristiwa. |
| Server tidak terhubung ke internet | Gunakan Gateway Analitik Log | Mengonfigurasi proksi ke agen Anda memerlukan aturan firewall tambahan agar Gateway berfungsi. |
| Membutuhkan penandaan dan pengayaan saat penyerapan | Menggunakan Logstash untuk menyuntikkan ResourceID Menggunakan templat ARM untuk menyuntikkan ResourceID ke komputer lokal Menyerap ID sumber daya ke ruang kerja terpisah |
Analitik Log tidak mendukung RBAC untuk tabel kustom Microsoft Azure Sentinel tidak mendukung RBAC tingkat baris Tips: Anda mungkin ingin mengadopsi desain dan fungsionalitas ruang kerja silang untuk Microsoft Azure Sentinel. |
| Memerlukan pemisahan operasi dan log keamanan | Gunakan fungsionalitas multi-rumah Agen Pemantauan Microsoft atau Agen Azure Monitor | Fungsi multi-rumah membutuhkan lebih banyak penyebaran overhead untuk agen. |
| Membutuhkan log khusus | Mengumpulkan file dari jalur folder tertentu Menggunakan penyerapan API Menggunakan PowerShell Menggunakan Logstash |
Anda mungkin memiliki masalah saat memfilter log. Metode kustom tidak didukung. Konektor khusus mungkin memerlukan keterampilan pengembang. |
Kumpulan log Linux lokal
| Tantangan/Persyaratan | Solusi yang memungkinkan | Pertimbangan |
|---|---|---|
| Memerlukan pemfilteran log | Menggunakan Syslog-NG Menggunakan Rsyslog Menggunakan konfigurasi FluentD untuk agen Menggunakan Agen Azure Monitor/Agen Pemantauan Microsoft Menggunakan Logstash |
Beberapa distribusi Linux mungkin tidak didukung oleh agen. Menggunakan Syslog atau FluentD membutuhkan pengetahuan pengembang. Untuk informasi selengkapnya, lihat Menyambungkan ke server Windows untuk mengumpulkan peristiwa keamanan dan Sumber daya untuk membuat konektor khusus Microsoft Azure Sentinel. |
| Agen tidak dapat diinstal | Gunakan penerus Syslog, seperti (syslog-ng atau rsyslog. | |
| Server tidak terhubung ke internet | Gunakan Gateway Analitik Log | Mengonfigurasi proksi ke agen Anda memerlukan aturan firewall tambahan agar Gateway berfungsi. |
| Membutuhkan penandaan dan pengayaan saat penyerapan | Gunakan Logstash untuk pengayaan, atau metode kustom, seperti API atau Event Hubs. | Anda mungkin perlu upaya ekstra untuk pemfilteran. |
| Memerlukan pemisahan operasi dan log keamanan | Gunakan Agen Azure Monitor dengan konfigurasi multi-rumah. | |
| Membutuhkan log khusus | Buat kolektor khusus menggunakan agen Pemantauan Microsoft (Analitik Log). |
Solusi titik akhir
Jika Anda perlu mengumpulkan log dari solusi titik akhir, seperti EDR, peristiwa keamanan lainnya, Sysmon, dan sebagainya, gunakan salah satu metode berikut:
- Konektor Microsoft Defender XDR untuk mengumpulkan log dari Microsoft Defender untuk Titik Akhir. Opsi ini menetapkan biaya tambahan untuk penyerapan data.
- Penerusan Peristiwa Windows.
Catatan
Penyeimbangan beban mengurangi peristiwa per detik yang dapat diproses ke ruang kerja.
Data Office
Jika Anda perlu mengumpulkan data Microsoft Office, di luar data konektor standar, gunakan salah satu solusi berikut:
| Tantangan/Persyaratan | Solusi yang memungkinkan | Pertimbangan |
|---|---|---|
| Mengumpulkan data mentah dari Teams, jejak pesan, data phishing, dan sebagainya | Gunakan fungsionalitas konektor Office 365 bawaan, lalu buat konektor khusus untuk data mentah lainnya. | Memetakan peristiwa ke recordID yang sesuai bisa jadi menantang. |
| Memerlukan RBAC untuk memisahkan negara/wilayah, departemen, dan sebagainya | Sesuaikan kumpulan data Anda dengan menambahkan tag ke data dan membuat ruang kerja khusus untuk setiap pemisahan yang diperlukan. | Kumpulan data khusus memiliki biaya penyerapan tambahan. |
| Membutuhkan beberapa penyewa dalam satu ruang kerja | Sesuaikan kumpulan data Anda menggunakan Azure LightHouse dan tampilan insiden terpadu. | Kumpulan data khusus memiliki biaya penyerapan tambahan. Untuk informasi selengkapnya, lihat Memperluas Microsoft Azure Sentinel di seluruh ruang kerja dan penyewa. |
Data platform cloud
| Tantangan/Persyaratan | Solusi yang memungkinkan | Pertimbangan |
|---|---|---|
| Memfilter log dari platform lain | Menggunakan Logstash Menggunakan Agen Azure Monitor/Agen Pemantauan Microsoft (Analitik Log) |
Kumpulan khusus memiliki biaya penyerapan tambahan. Anda mungkin menghadapi tantangan saat mengumpulkan semua peristiwa Windows vs hanya acara keamanan. |
| Agen tidak dapat digunakan | Menggunakan Penerusan Peristiwa Windows | Anda mungkin perlu melakukan penyeimbangan beban di seluruh sumber daya Anda. |
| Server berada dalam jaringan dengan celah udara | Gunakan Gateway Analitik Log | Mengonfigurasi proksi ke agen Anda memerlukan aturan firewall tambahan untuk mengizinkan Gateway berfungsi. |
| RBAC, penandaan, dan pengayaan saat penyerapan | Buat kumpulan khusus melalui Logstash atau API Analitik Log. | RBAC tidak didukung untuk tabel kustom RBAC tingkat baris tidak didukung untuk tabel apa pun. |
Langkah berikutnya
Untuk informasi selengkapnya, lihat: