Procedure consigliate per la raccolta dati
Questa sezione esamina le procedure consigliate per la raccolta dei dati usando i connettori dati di Microsoft Sentinel. Per altre informazioni, vedere Connessione origini dati, informazioni di riferimento sui connettori dati di Microsoft Sentinel e il catalogo delle soluzioni di Microsoft Sentinel.
Assegnare priorità ai connettori dati
Informazioni su come classificare in ordine di priorità i connettori dati come parte del processo di distribuzione di Microsoft Sentinel.
Filtrare i log prima dell'inserimento
È possibile filtrare i log raccolti o persino registrare il contenuto, prima che i dati vengano inseriti in Microsoft Sentinel. Ad esempio, è possibile filtrare i log irrilevanti o non importanti per le operazioni di sicurezza oppure rimuovere i dettagli indesiderati dai messaggi di log. Il filtro del contenuto dei messaggi può essere utile anche quando si tenta di ridurre i costi quando si lavora con i log basati su Syslog, CEF o Windows con molti dettagli irrilevanti.
Filtrare i log usando uno dei metodi seguenti:
Agente di Monitoraggio di Azure. Supportato sia in Windows che in Linux per inserire eventi di sicurezza di Windows. Filtrare i log raccolti configurando l'agente per raccogliere solo gli eventi specificati.
Logstash. Supporta il filtro del contenuto dei messaggi, incluse le modifiche apportate ai messaggi di log. Per altre informazioni, vedere Connessione con Logstash.
Importante
L'uso di Logstash per filtrare il contenuto del messaggio causerà l'inserimento dei log come log personalizzati, causando la creazione di log a livello gratuito.
Anche i log personalizzati devono essere usati in regole di analisi, ricerca di minacce e cartelle di lavoro, perché non vengono aggiunti automaticamente. Anche i log personalizzati non sono attualmente supportati per le funzionalità di Machine Learning .
Requisiti di inserimento dati alternativi
La configurazione standard per la raccolta dei dati potrebbe non funzionare correttamente per l'organizzazione, a causa di varie problematiche. Le tabelle seguenti descrivono le problematiche o i requisiti comuni e le possibili soluzioni e considerazioni.
Nota
Molte soluzioni elencate nelle sezioni seguenti richiedono un connettore dati personalizzato. Per altre informazioni, vedere Risorse per la creazione di connettori personalizzati di Microsoft Sentinel.
Raccolta di log di Windows locale
Richiesta/requisito | Possibili soluzioni | Considerazioni |
---|---|---|
Richiede il filtro dei log | Usare Logstash Usare Funzioni di Azure Usare LogicApps Usare codice personalizzato (.NET, Python) |
Anche se il filtro può comportare risparmi sui costi e inserisce solo i dati necessari, alcune funzionalità di Microsoft Sentinel non sono supportate, ad esempio UEBA, pagine di entità, Machine Learning e fusion. Quando si configura il filtro dei log, apportare aggiornamenti nelle risorse, ad esempio query di ricerca delle minacce e regole di analisi |
Impossibile installare l'agente | Usare l'inoltro eventi di Windows, supportato con l'agente di Monitoraggio di Azure | L'inoltro di eventi di Windows riduce gli eventi di bilanciamento del carico al secondo dall'agente di raccolta eventi di Windows, da 10.000 eventi a 500-1000 eventi. |
I server non si connettono a Internet | Usare il gateway di Log Analytics | La configurazione di un proxy per l'agente richiede regole firewall aggiuntive per consentire il funzionamento del gateway. |
Richiede l'assegnazione di tag e l'arricchimento durante l'inserimento | Usare Logstash per inserire un ID risorsa Usare un modello di Resource Manager per inserire ResourceID nei computer locali Inserire l'ID risorsa in aree di lavoro separate |
Log Analytics non supporta il controllo degli accessi in base al ruolo per le tabelle personalizzate Microsoft Sentinel non supporta il controllo degli accessi in base al ruolo a livello di riga Suggerimento: è possibile adottare la progettazione e la funzionalità tra aree di lavoro per Microsoft Sentinel. |
Richiede l'operazione di divisione e i log di sicurezza | Usare la funzionalità multi-home dell'agente di Monitoraggio di Microsoft o dell'agente di Monitoraggio di Azure | La funzionalità multi-home richiede un sovraccarico di distribuzione maggiore per l'agente. |
Richiede log personalizzati | Raccogliere file da percorsi di cartelle specifici Usare l'inserimento di API Usare PowerShell Usare Logstash |
Potrebbero verificarsi problemi durante il filtro dei log. I metodi personalizzati non sono supportati. I connettori personalizzati possono richiedere competenze per sviluppatori. |
Raccolta di log linux locale
Richiesta/requisito | Possibili soluzioni | Considerazioni |
---|---|---|
Richiede il filtro dei log | Usare Syslog-NG Usare Rsyslog Usare la configurazione FluentD per l'agente Usare l'agente di Monitoraggio di Azure/Microsoft Monitoring Agent Usare Logstash |
Alcune distribuzioni di Linux potrebbero non essere supportate dall'agente. L'uso di Syslog o FluentD richiede conoscenze per gli sviluppatori. Per altre informazioni, vedere Connessione ai server Windows per raccogliere eventi di sicurezza e risorse per la creazione di connettori personalizzati di Microsoft Sentinel. |
Impossibile installare l'agente | Usare un server d'inoltro Syslog, ad esempio (syslog-ng o rsyslog). | |
I server non si connettono a Internet | Usare il gateway di Log Analytics | La configurazione di un proxy per l'agente richiede regole firewall aggiuntive per consentire il funzionamento del gateway. |
Richiede l'assegnazione di tag e l'arricchimento durante l'inserimento | Usare Logstash per l'arricchimento o metodi personalizzati, ad esempio API o Hub eventi. | Potrebbe essere necessario un ulteriore sforzo per filtrare. |
Richiede l'operazione di divisione e i log di sicurezza | Usare l'agente di Monitoraggio di Azure con la configurazione multihoming. | |
Richiede log personalizzati | Creare un agente di raccolta personalizzato usando l'agente di monitoraggio Microsoft (Log Analytics). |
Soluzioni endpoint
Se è necessario raccogliere log da soluzioni endpoint, ad esempio EDR, altri eventi di sicurezza, Sysmon e così via, usare uno dei metodi seguenti:
- Connettore Microsoft Defender XDR per raccogliere i log dai Microsoft Defender per endpoint. Questa opzione comporta costi aggiuntivi per l'inserimento dati.
- Inoltro eventi di Windows.
Nota
Il bilanciamento del carico riduce gli eventi al secondo che possono essere elaborati nell'area di lavoro.
Dati di Office
Se è necessario raccogliere i dati di Microsoft Office, al di fuori dei dati del connettore standard, usare una delle soluzioni seguenti:
Richiesta/requisito | Possibili soluzioni | Considerazioni |
---|---|---|
Raccogliere dati non elaborati da Teams, traccia dei messaggi, dati di phishing e così via | Usare la funzionalità predefinita del connettore di Office 365 e quindi creare un connettore personalizzato per altri dati non elaborati. | Il mapping degli eventi al recordID corrispondente può risultare complesso. |
Richiede il controllo degli accessi in base al ruolo per suddividere paesi/aree geografiche, reparti e così via | Personalizzare la raccolta dati aggiungendo tag ai dati e creando aree di lavoro dedicate per ogni separazione necessaria. | La raccolta dati personalizzata comporta costi aggiuntivi per l'inserimento. |
Richiede più tenant in una singola area di lavoro | Personalizzare la raccolta dati usando Azure LightHouse e una visualizzazione unificata degli eventi imprevisti. | La raccolta dati personalizzata comporta costi aggiuntivi per l'inserimento. Per altre informazioni, vedere Estendere Microsoft Sentinel tra aree di lavoro e tenant. |
Dati della piattaforma cloud
Richiesta/requisito | Possibili soluzioni | Considerazioni |
---|---|---|
Filtrare i log da altre piattaforme | Usare Logstash Usare l'agente di Monitoraggio di Azure o l'agente di monitoraggio Microsoft (Log Analytics) |
La raccolta personalizzata prevede costi aggiuntivi per l'inserimento. Potrebbe essere necessario raccogliere tutti gli eventi di Windows e solo gli eventi di sicurezza. |
Non è possibile usare l'agente | Usare l'inoltro di eventi di Windows | Potrebbe essere necessario bilanciare il carico delle risorse. |
I server si trovano nella rete air-gapped | Usare il gateway di Log Analytics | La configurazione di un proxy per l'agente richiede regole del firewall per consentire il funzionamento del gateway. |
Controllo degli accessi in base al ruolo, assegnazione di tag e arricchimento durante l'inserimento | Creare una raccolta personalizzata tramite Logstash o l'API Log Analytics. | Il controllo degli accessi in base al ruolo non è supportato per le tabelle personalizzate Il controllo degli accessi in base al ruolo a livello di riga non è supportato per alcuna tabella. |
Passaggi successivi
Per altre informazioni, vedere: