Best practices voor gegevensverzameling
In deze sectie vindt u de aanbevolen procedures voor het verzamelen van gegevens met behulp van Microsoft Sentinel-gegevensconnectors. Zie Verbinding maken met gegevensbronnen, Microsoft naslaginformatie over Sentinel-gegevensconnectors en de catalogus met Microsoft Sentinel-oplossingen voor meer informatie.
Prioriteit geven aan uw gegevensconnectors
Als het voor u niet duidelijk is welke gegevensconnectors het meest geschikt zijn voor uw omgeving, schakelt u eerst alle gratis gegevensconnectors in.
Op de gratis gegevensconnectors wordt zo snel mogelijk de waarde van Microsoft Sentinel weergegeven, terwijl u andere gegevensconnectors en budgetten blijft plannen.
Voor uw partner en aangepaste gegevensconnectors begint u met het instellen van Syslog - en CEF-connectors , met de hoogste prioriteit eerst, evenals eventuele Linux-apparaten.
Als uw gegevensopname te duur of te snel wordt, stopt of filtert u de logboeken die worden doorgestuurd met behulp van de Azure Monitor-agent.
Tip
Met aangepaste gegevensconnectors kunt u gegevens opnemen in Microsoft Sentinel vanuit gegevensbronnen die momenteel niet worden ondersteund door ingebouwde functionaliteit, zoals via agent, Logstash of API. Zie Resources voor het maken van aangepaste Microsoft Sentinel-connectors voor meer informatie.
Uw logboeken filteren vóór opname
Mogelijk wilt u de verzamelde logboeken of zelfs de inhoud van het logboek filteren voordat de gegevens worden opgenomen in Microsoft Sentinel. U kunt bijvoorbeeld logboeken uitfilteren die irrelevant of onbelangrijk zijn voor beveiligingsbewerkingen, of u wilt mogelijk ongewenste details uit logboekberichten verwijderen. Het filteren van berichtinhoud kan ook handig zijn bij het verlagen van de kosten bij het werken met Syslog-, CEF- of Windows-logboeken met veel irrelevante details.
Filter uw logboeken met behulp van een van de volgende methoden:
De Azure Monitor-agent. Ondersteund in zowel Windows als Linux voor het opnemen van Windows-beveiligingsgebeurtenissen. Filter de verzamelde logboeken door de agent zo te configureren dat alleen opgegeven gebeurtenissen worden verzameld.
Logstash. Ondersteunt het filteren van berichtinhoud, inclusief het aanbrengen van wijzigingen in de logboekberichten. Zie Verbinding maken met Logstash voor meer informatie.
Belangrijk
Als u Logstash gebruikt om de inhoud van uw bericht te filteren, worden uw logboeken opgenomen als aangepaste logboeken, waardoor logboeken in de gratis laag worden omgezet in logboeken met een betaalde laag.
Aangepaste logboeken moeten ook worden verwerkt in analyseregels, opsporing van bedreigingen en werkmappen, omdat ze niet automatisch worden toegevoegd. Aangepaste logboeken worden momenteel ook niet ondersteund voor machine learning-mogelijkheden .
Alternatieve vereisten voor gegevensopname
De standaardconfiguratie voor het verzamelen van gegevens werkt mogelijk niet goed voor uw organisatie, vanwege verschillende uitdagingen. In de volgende tabellen worden veelvoorkomende uitdagingen of vereisten en mogelijke oplossingen en overwegingen beschreven.
Notitie
Voor veel oplossingen die hieronder worden vermeld, is een aangepaste gegevensconnector vereist. Zie Resources voor het maken van aangepaste Microsoft Sentinel-connectors voor meer informatie.
On-premises Windows-logboekverzameling
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Logboekfiltering vereist | Logstash gebruiken Azure Functions gebruiken LogicApps gebruiken Aangepaste code gebruiken (.NET, Python) |
Hoewel filteren kan leiden tot kostenbesparingen en alleen de vereiste gegevens opneemt, worden sommige Microsoft Sentinel-functies niet ondersteund, zoals UEBA, entiteitspagina's, machine learning en fusie. Wanneer u logboekfiltering configureert, moet u updates aanbrengen in resources, zoals query's voor het opsporen van bedreigingen en analyseregels |
| Agent kan niet worden geïnstalleerd | Windows Event Forwarding gebruiken, ondersteund met de Azure Monitor-agent | Het doorsturen van Windows-gebeurtenissen verlaagt taakverdelingsgebeurtenissen per seconde van de Windows Event Collector, van 10.000 gebeurtenissen naar 500-1000 gebeurtenissen. |
| Servers maken geen verbinding met internet | De Log Analytics-gateway gebruiken | Voor het configureren van een proxy voor uw agent zijn extra firewallregels vereist om de gateway te laten werken. |
| Tagging en verrijking bij opname vereist | Logstash gebruiken om een ResourceID in te voeren Een ARM-sjabloon gebruiken om de ResourceID in on-premises machines te injecteren De resource-id opnemen in afzonderlijke werkruimten |
Log Analytics biedt geen ondersteuning voor RBAC voor aangepaste tabellen Microsoft Sentinel biedt geen ondersteuning voor RBAC op rijniveau Tip: misschien wilt u het ontwerp en de functionaliteit voor meerdere werkruimten gebruiken voor Microsoft Sentinel. |
| Vereist splitsbewerkings- en beveiligingslogboeken | De functionaliteit Microsoft Monitor Agent of Azure Monitor Agent multi-home gebruiken | Multi-home-functionaliteit vereist meer overhead voor de implementatie van de agent. |
| Vereist aangepaste logboeken | Bestanden verzamelen uit specifieke mappaden API-opname gebruiken PowerShell gebruiken Logstash gebruiken |
Mogelijk ondervindt u problemen met het filteren van uw logboeken. Aangepaste methoden worden niet ondersteund. Voor aangepaste connectors zijn mogelijk ontwikkelaarsvaardigheden vereist. |
On-premises Linux-logboekverzameling
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Logboekfiltering vereist | Syslog-NG gebruiken Rsyslog gebruiken FluentD-configuratie gebruiken voor de agent De Azure Monitor-agent/Microsoft Monitoring Agent gebruiken Logstash gebruiken |
Sommige Linux-distributies worden mogelijk niet ondersteund door de agent. Voor het gebruik van Syslog of FluentD is kennis van ontwikkelaars vereist. Zie Verbinding maken met Windows-servers om beveiligingsevenementen te verzamelen en Resources voor het maken van aangepaste connectors voor Microsoft Sentinel voor meer informatie. |
| Agent kan niet worden geïnstalleerd | Gebruik een Syslog-doorstuurserver, zoals (syslog-ng of rsyslog. | |
| Servers maken geen verbinding met internet | De Log Analytics-gateway gebruiken | Voor het configureren van een proxy voor uw agent zijn extra firewallregels vereist om de gateway te laten werken. |
| Tagging en verrijking bij opname vereist | Gebruik Logstash voor verrijking of aangepaste methoden, zoals API of EventHubs. | Mogelijk moet u extra moeite doen om te filteren. |
| Vereist splitsbewerkings- en beveiligingslogboeken | Gebruik de Azure Monitor-agent met de multihoming-configuratie. | |
| Vereist aangepaste logboeken | Maak een aangepaste collector met behulp van de Microsoft Monitoring-agent (Log Analytics). |
Eindpuntoplossingen
Als u logboeken wilt verzamelen van eindpuntoplossingen, zoals EDR, andere beveiligingsgebeurtenissen, Sysmon, enzovoort, gebruikt u een van de volgende methoden:
- MTP-connector voor het verzamelen van logboeken van Microsoft 365 Defender voor Eindpunt. Met deze optie worden extra kosten in rekening gebracht voor de gegevensopname.
- Windows Event Forwarding.
Notitie
Taakverdeling vermindert de gebeurtenissen per seconde die naar de werkruimte kunnen worden verwerkt.
Office-gegevens
Als u Microsoft Office-gegevens wilt verzamelen, gebruikt u een van de volgende oplossingen buiten de standaardconnectorgegevens:
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Onbewerkte gegevens verzamelen van Teams, berichttracering, phishinggegevens, enzovoort | Gebruik de ingebouwde functionaliteit van de Office 365-connector en maak vervolgens een aangepaste connector voor andere onbewerkte gegevens. | Het toewijzen van gebeurtenissen aan de bijbehorende recordID kan lastig zijn. |
| Vereist RBAC voor het splitsen van landen, afdelingen, enzovoort | Pas uw gegevensverzameling aan door tags toe te voegen aan gegevens en speciale werkruimten te maken voor elke scheiding die nodig is. | Voor het verzamelen van aangepaste gegevens zijn extra opnamekosten verbonden. |
| Vereist meerdere tenants in één werkruimte | Pas uw gegevensverzameling aan met behulp van Azure LightHouse en een geïntegreerde incidentweergave. | Voor het verzamelen van aangepaste gegevens zijn extra opnamekosten verbonden. Zie Microsoft Sentinel uitbreiden in werkruimten en tenants voor meer informatie. |
Gegevens van cloudplatforms
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Logboeken van andere platforms filteren | Logstash gebruiken De Azure Monitor-agent/Microsoft Monitoring-agent (Log Analytics) gebruiken |
Aangepaste verzameling heeft extra opnamekosten. Mogelijk hebt u de uitdaging om alle Windows-gebeurtenissen te verzamelen versus alleen beveiligingsevenementen. |
| Agent kan niet worden gebruikt | Windows Event Forwarding gebruiken | Mogelijk moet u de taken over uw resources verdelen. |
| Servers bevinden zich in een air-gapped-netwerk | De Log Analytics-gateway gebruiken | Voor het configureren van een proxy voor uw agent zijn firewallregels vereist om de gateway te laten werken. |
| RBAC, taggen en verrijking bij opname | Maak een aangepaste verzameling via Logstash of de Log Analytics-API. | RBAC wordt niet ondersteund voor aangepaste tabellen RBAC op rijniveau wordt niet ondersteund voor tabellen. |
Volgende stappen
Zie voor meer informatie: