Procedure consigliate per la raccolta dati
Questa sezione esamina le procedure consigliate per raccogliere dati usando i connettori dati di Microsoft Sentinel. Per altre informazioni, vedere Connettere origini dati, Informazioni di riferimento sui connettori dati di Microsoft Sentinel e Catalogo delle soluzioni Microsoft Sentinel.
Classificare i connettori dati
Informazioni su come classificare i connettori dati come parte del processo di distribuzione di Microsoft Sentinel.
Filtrare i log prima dell'inserimento
È possibile filtrare i log raccolti o anche registrarne il contenuto, prima che i dati vengano inseriti in Microsoft Sentinel. Ad esempio, è possibile filtrare i log irrilevanti o non importanti per le operazioni per la sicurezza oppure rimuovere i dettagli indesiderati dai messaggi di log. Il filtro del contenuto dei messaggi può essere utile anche per tentare di ridurre i costi quando si lavora con i log basati su Syslog, CEF o Windows contenenti molti dettagli irrilevanti.
Filtrare i log usando uno dei metodi seguenti:
Agente di Monitoraggio di Azure. Supportato sia in Windows sia in Linux per inserire eventi di sicurezza di Windows. Filtrare i log raccolti configurando l'agente in modo da raccogliere solo gli eventi specificati.
Logstash. Supporta il filtro del contenuto dei messaggi, incluse le modifiche apportate ai messaggi di log. Per altre informazioni, vedere Connettersi con Logstash.
Importante
Usando Logstash per filtrare il contenuto dei messaggi, i log verranno inseriti come personalizzati, per cui eventuali log del livello gratuito diventeranno log del livello a pagamento.
I log personalizzati devono inoltre essere inseriti in regole di analisi, ricerca di minaccee cartelle di lavoro, perché non vengono aggiunti automaticamente. I log personalizzati non sono inoltre attualmente supportati per le funzionalità di Machine Learning.
Requisiti di inserimento dati alternativi
La configurazione standard per la raccolta dei dati potrebbe non funzionare correttamente per l'organizzazione, a causa di varie problematiche. Le tabelle seguenti descrivono le problematiche o i requisiti comuni e le possibili soluzioni e considerazioni.
Nota
Molte soluzioni elencate nelle sezioni seguenti richiedono un connettore dati personalizzato. Per altre informazioni, vedere Risorse per la creazione di connettori personalizzati di Microsoft Sentinel.
Raccolta di log di Windows in locale
| Problematica/requisito | Possibili soluzioni | Considerazioni |
|---|---|---|
| Richiede il filtro dei log | Usare Logstash Usare Funzioni di Azure Usare LogicApps Usare codice personalizzato (.NET, Python) |
Anche se l'applicazione del filtro può comportare risparmi sui costi e fa sì che vengano inseriti solo i dati necessari, alcune funzionalità di Microsoft Sentinel non sono supportate, ad esempio UEBA, pagine di entità, apprendimento automaticoe Fusion. Quando si configura il filtro dei log, apportare aggiornamenti nelle risorse, ad esempio query di ricerca delle minacce e regole di analisi |
| L'agente non può essere installato | Usare l'inoltro eventi di Windows, supportato con l'agente di Monitoraggio di Azure | L'uso dell'inoltro eventi di Windows riduce il numero di eventi di bilanciamento del carico al secondo dell'agente di raccolta eventi di Windows, da 10.000 a 500-1000 eventi. |
| I server non si connettono a Internet | Usare il gateway di Log Analytics | La configurazione di un proxy per l'agente richiede regole del firewall aggiuntive per consentire il funzionamento del gateway. |
| Richiede l'assegnazione di tag e l'arricchimento durante l'inserimento | Usare Logstash per inserire un ID risorsa Usare un modello di ARM per inserire ResourceID nei computer locali Inserire l'ID risorsa in aree di lavoro separate |
Log Analytics non supporta il controllo degli accessi in base al ruolo per le tabelle personalizzate Microsoft Sentinel non supporta il controllo degli accessi in base al ruolo a livello di riga Suggerimento: è consigliabile adottare la progettazione e le funzionalità tra aree di lavoro per Microsoft Sentinel. |
| Richiede l'operazione di divisione e i log di sicurezza | Usare la funzionalità multi-hone dell'agente di monitoraggio Microsoft o dell'agente di Monitoraggio di Azure | La funzionalità multi-home richiede un sovraccarico di distribuzione maggiore per l'agente. |
| Richiede log personalizzati | Raccogliere i file da specifici percorsi di cartelle Usare l'inserimento API Usare PowerShell Usare Logstash |
Potrebbero verificarsi problemi durante il filtro dei log. I metodi personalizzati non sono supportati. I connettori personalizzati possono richiedere competenze di sviluppo. |
Raccolta di log di Linux in locale
| Problematica/requisito | Possibili soluzioni | Considerazioni |
|---|---|---|
| Richiede il filtro dei log | Usare Syslog-NG Usare Rsyslog Usare la configurazione FluentD per l'agente Usare l'agente di Monitoraggio di Azure/agente di monitoraggio Microsoft Usare Logstash |
Alcune distribuzioni di Linux potrebbero non essere supportate dall'agente. L'uso di Syslog o FluentD richiede conoscenze di sviluppo. Per altre informazioni, vedere Connettersi ai server Windows per raccogliere eventi di sicurezza e Risorse per la creazione di connettori personalizzati di Microsoft Sentinel. |
| L'agente non può essere installato | Usare un server di inoltro Syslog, ad esempio (syslog-ng o rsyslog). | |
| I server non si connettono a Internet | Usare il gateway di Log Analytics | La configurazione di un proxy per l'agente richiede regole del firewall aggiuntive per consentire il funzionamento del gateway. |
| Richiede l'assegnazione di tag e l'arricchimento durante l'inserimento | Usare Logstash per l'arricchimento o metodi personalizzati, ad esempio API o Hub eventi. | Potrebbe essere necessario un ulteriore sforzo per l'applicazione del filtro. |
| Richiede l'operazione di divisione e i log di sicurezza | Usare l'agente di Monitoraggio di Azure con la configurazione multi-home. | |
| Richiede log personalizzati | Creare un agente di raccolta personalizzato usando l'agente di monitoraggio Microsoft (Log Analytics). |
Soluzioni endpoint
Se è necessario raccogliere log da soluzioni endpoint, ad esempio EDR, altri eventi di sicurezza, Sysmon e così via, usare uno dei metodi seguenti:
- Connettore Microsoft Defender XDR per raccogliere i log da Microsoft Defender per endpoint. Questa opzione comporta costi aggiuntivi per l'inserimento dati.
- Inoltro di Eventi di Windows.
Nota
Il bilanciamento del carico riduce il numero di eventi al secondo che possono essere elaborati nell'area di lavoro.
Dati di Office
Se è necessario raccogliere i dati di Microsoft Office, al di fuori dei dati del connettore standard, usare una delle soluzioni seguenti:
| Problematica/requisito | Possibili soluzioni | Considerazioni |
|---|---|---|
| Raccogliere dati non elaborati da Teams, traccia dei messaggi, dati di phishing e così via | Usare la funzionalità predefinita connettore di Office 365 e quindi creare un connettore personalizzato per altri dati non elaborati. | Il mapping degli eventi al recordID corrispondente può risultare complesso. |
| Richiede il controllo degli accessi in base al ruolo per la separazione di paesi/aree geografiche, reparti e così via | Personalizzare la raccolta dati aggiungendo tag ai dati e creando aree di lavoro dedicate per ogni separazione necessaria. | La raccolta dati personalizzata comporta costi aggiuntivi per l'inserimento. |
| Richiede più tenant in una singola area di lavoro | Personalizzare la raccolta dati usando Azure LightHouse e una visualizzazione unificata degli eventi imprevisti. | La raccolta dati personalizzata comporta costi aggiuntivi per l'inserimento. Per altre informazioni, vedere Estendere Microsoft Sentinel tra più aree di lavoro e tenant. |
Operazioni della piattaforma cloud
| Problematica/requisito | Possibili soluzioni | Considerazioni |
|---|---|---|
| Filtrare i log provenienti da altre piattaforme | Usare Logstash Usare l'agente di Monitoraggio di Azure/agente di monitoraggio Microsoft (Log Analytics) |
La raccolta personalizzata comporta costi aggiuntivi per l'inserimento. Potrebbe essere problematico raccogliere tutti gli eventi di Windows piuttosto che solo quelli di sicurezza. |
| Non è possibile usare l'agente | Usare l'inoltro di eventi di Windows | Può essere necessario bilanciare il carico di lavoro tra risorse. |
| I server si trovano in una rete isolata | Usare il gateway di Log Analytics | La configurazione di un proxy per l'agente richiede regole del firewall per consentire il funzionamento del gateway. |
| Controllo degli accessi in base al ruolo, assegnazione di tag e arricchimento in fase di inserimento | Creare una raccolta personalizzata tramite Logstash o l'API Log Analytics. | Il controllo degli accessi in base al ruolo non è supportato per le tabelle personalizzate Il controllo degli accessi in base al ruolo a livello di riga non è supportato per alcuna tabella. |
Passaggi successivi
Per altre informazioni, vedi: