Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa sezione esamina le procedure consigliate per la raccolta di dati tramite connettori dati Microsoft Sentinel. Per altre informazioni, vedere Connettere origini dati, Microsoft Sentinel informazioni di riferimento sui connettori dati e il catalogo delle soluzioni Microsoft Sentinel.
Assegnare priorità ai connettori dati
Informazioni su come assegnare priorità ai connettori dati come parte del processo di distribuzione Microsoft Sentinel.
Filtrare i log prima dell'inserimento
È possibile filtrare i log raccolti o anche il contenuto del log prima che i dati vengano inseriti in Microsoft Sentinel. Ad esempio, è possibile filtrare i log irrilevanti o non importanti per le operazioni di sicurezza oppure rimuovere i dettagli indesiderati dai messaggi di log. Il filtro del contenuto dei messaggi può essere utile anche quando si tenta di ridurre i costi quando si usano log syslog, CEF o basati su Windows con molti dettagli irrilevanti.
Filtrare i log usando uno dei metodi seguenti:
Agente di monitoraggio Azure. Supportato sia in Windows che in Linux per inserire gli eventi di sicurezza di Windows. Filtrare i log raccolti configurando l'agente per raccogliere solo gli eventi specificati.
Logstash. Supporta il filtro del contenuto dei messaggi, inclusa l'applicazione di modifiche ai messaggi di log. Per altre informazioni, vedere Connettersi a Logstash.
Importante
L'uso di Logstash per filtrare il contenuto dei messaggi comporta l'inserimento dei log come log personalizzati, causando l'inserimento di log di livello gratuito come log a pagamento.
I log personalizzati devono anche essere elaborati in regole di analisi, ricerca delle minacce e cartelle di lavoro, in quanto non vengono aggiunti automaticamente. I log personalizzati non sono attualmente supportati per le funzionalità di Machine Learning .
Requisiti di inserimento dati alternativi
Standard configurazione per la raccolta dei dati potrebbe non funzionare correttamente per l'organizzazione, a causa di varie sfide. Le tabelle seguenti descrivono le problematiche o i requisiti comuni e le possibili soluzioni e considerazioni.
Nota
Molte soluzioni elencate nelle sezioni seguenti richiedono un connettore dati personalizzato. Per altre informazioni, vedere Risorse per la creazione di connettori Microsoft Sentinel personalizzati.
Raccolta di log di Windows locale
| Richiesta di verifica/requisito | Possibili soluzioni | Considerazioni |
|---|---|---|
| Richiede il filtro dei log | Usare Logstash Usare Funzioni di Azure Usare LogicApps Usare codice personalizzato (.NET, Python) |
Anche se il filtro può comportare risparmi sui costi e inserire solo i dati necessari, alcune funzionalità Microsoft Sentinel non sono supportate, ad esempio UEBA, pagine di entità, Machine Learning e fusion. Quando si configura il filtro dei log, eseguire aggiornamenti in risorse come query di ricerca delle minacce e regole di analisi. |
| Impossibile installare l'agente | Usare l'inoltro eventi di Windows, supportato con l'agente di monitoraggio Azure | L'inoltro di eventi di Windows riduce gli eventi di bilanciamento del carico al secondo dall'agente di raccolta eventi di Windows, da 10.000 eventi a 500-1000 eventi. |
| I server non si connettono a Internet | Usare il gateway di Log Analytics | La configurazione di un proxy per l'agente richiede regole del firewall aggiuntive per consentire il funzionamento del gateway. |
| Richiede l'assegnazione di tag e l'arricchimento all'inserimento | Usare Logstash per inserire un ResourceID Usare un modello di Resource Manager per inserire ResourceID nei computer locali Inserire l'ID risorsa in aree di lavoro separate |
Log Analytics non supporta il controllo degli accessi in base al ruolo per le tabelle personalizzate. Microsoft Sentinel non supporta il controllo degli accessi in base al ruolo a livello di riga. Suggerimento: è possibile adottare la progettazione e la funzionalità tra aree di lavoro per Microsoft Sentinel. |
| Richiede la suddivisione dei log delle operazioni e della sicurezza | Usare la funzionalità multi-home di Microsoft Monitor Agent o Azure Monitor Agent | La funzionalità multi-home richiede un sovraccarico di distribuzione maggiore per l'agente. |
| Richiede log personalizzati | Raccogliere file da percorsi di cartelle specifici Usare l'inserimento dell'API Usare PowerShell. Usare Logstash |
È possibile che si verifichino problemi nel filtrare i log. I metodi personalizzati non sono supportati. I connettori personalizzati potrebbero richiedere competenze per gli sviluppatori. |
Raccolta di log Linux locale
| Richiesta di verifica/requisito | Possibili soluzioni | Considerazioni |
|---|---|---|
| Richiede il filtro dei log | Usare Syslog-NG Usare Rsyslog Usare la configurazione FluentD per l'agente Usare Azure Monitor Agent/Microsoft Monitoring Agent Usare Logstash |
Alcune distribuzioni Linux potrebbero non essere supportate dall'agente. L'uso di Syslog o FluentD richiede conoscenze per gli sviluppatori. Per altre informazioni, vedere Connettersi ai server Windows per raccogliere eventi di sicurezza e risorse per la creazione di connettori personalizzati Microsoft Sentinel. |
| Impossibile installare l'agente | Usare un server d'inoltro Syslog, ad esempio (syslog-ng o rsyslog. | |
| I server non si connettono a Internet | Usare il gateway di Log Analytics | La configurazione di un proxy per l'agente richiede regole del firewall aggiuntive per consentire il funzionamento del gateway. |
| Richiede l'assegnazione di tag e l'arricchimento all'inserimento | Usare Logstash per l'arricchimento o metodi personalizzati, ad esempio API o Hub eventi. | Potrebbe essere necessario un ulteriore sforzo per filtrare. |
| Richiede la suddivisione dei log delle operazioni e della sicurezza | Usare l'agente di monitoraggio Azure con la configurazione multi-homing. | |
| Richiede log personalizzati | Creare un agente di raccolta personalizzato usando l'agente di monitoraggio Microsoft (Log Analytics). |
Soluzioni endpoint
Se è necessario raccogliere log da soluzioni endpoint, ad esempio EDR, altri eventi di sicurezza, Sysmon e così via, usare uno dei metodi seguenti:
- Microsoft Defender XDR connettore per raccogliere i log da Microsoft Defender per endpoint. Questa opzione comporta costi aggiuntivi per l'inserimento dei dati.
- Inoltro di eventi di Windows.
Nota
Il bilanciamento del carico riduce gli eventi al secondo che possono essere elaborati nell'area di lavoro.
Dati di Office
Se è necessario raccogliere dati di Microsoft Office, al di fuori dei dati del connettore standard, usare una delle soluzioni seguenti:
| Richiesta di verifica/requisito | Possibili soluzioni | Considerazioni |
|---|---|---|
| Raccogliere dati non elaborati da Teams, traccia dei messaggi, dati di phishing e così via | Usare la funzionalità di connettore Office 365 predefinita e quindi creare un connettore personalizzato per altri dati non elaborati. | Il mapping degli eventi al recordID corrispondente potrebbe essere complesso. |
| Richiede il controllo degli accessi in base al ruolo per la suddivisione di paesi/aree geografiche, reparti e così via | Personalizzare la raccolta dati aggiungendo tag ai dati e creando aree di lavoro dedicate per ogni separazione necessaria. | La raccolta dati personalizzata presenta costi aggiuntivi per l'inserimento. |
| Richiede più tenant in una singola area di lavoro | Personalizzare la raccolta dati usando Azure LightHouse e una visualizzazione unificata degli eventi imprevisti. | La raccolta dati personalizzata presenta costi aggiuntivi per l'inserimento. Per altre informazioni, vedere Estendere Microsoft Sentinel tra aree di lavoro e tenant. |
Dati della piattaforma cloud
| Richiesta di verifica/requisito | Possibili soluzioni | Considerazioni |
|---|---|---|
| Filtrare i log da altre piattaforme | Usare Logstash Usare l'agente di monitoraggio Azure/l'agente di monitoraggio Microsoft (Log Analytics) |
La raccolta personalizzata prevede costi aggiuntivi per l'inserimento. Potrebbe essere difficile raccogliere tutti gli eventi di Windows e solo gli eventi di sicurezza. |
| Non è possibile usare l'agente | Usare l'inoltro di eventi di Windows | Potrebbe essere necessario bilanciare il carico delle attività tra le risorse. |
| I server si trovano in una rete air-gapped | Usare il gateway di Log Analytics | La configurazione di un proxy per l'agente richiede regole del firewall per consentire il funzionamento del gateway. |
| Controllo degli accessi in base al ruolo, assegnazione di tag e arricchimento all'inserimento | Creare una raccolta personalizzata tramite Logstash o l'API Log Analytics. | Il controllo degli accessi in base al ruolo non è supportato per le tabelle personalizzate Il controllo degli accessi in base al ruolo a livello di riga non è supportato per le tabelle. |
Contenuto correlato
Per altre informazioni, vedere: