Best practices voor gegevensverzameling

In deze sectie vindt u de aanbevolen procedures voor het verzamelen van gegevens met behulp van Microsoft Sentinel-gegevensconnectors. Zie Verbinding maken met gegevensbronnen, Microsoft naslaginformatie over Sentinel-gegevensconnectors en de catalogus met Microsoft Sentinel-oplossingen voor meer informatie.

Prioriteit geven aan uw gegevensconnectors

Als het voor u niet duidelijk is welke gegevensconnectors het meest geschikt zijn voor uw omgeving, schakelt u eerst alle gratis gegevensconnectors in.

Op de gratis gegevensconnectors wordt zo snel mogelijk de waarde van Microsoft Sentinel weergegeven, terwijl u andere gegevensconnectors en budgetten blijft plannen.

Voor uw partner en aangepaste gegevensconnectors begint u met het instellen van Syslog - en CEF-connectors , met de hoogste prioriteit eerst, evenals eventuele Linux-apparaten.

Als uw gegevensopname te duur of te snel wordt, stopt of filtert u de logboeken die worden doorgestuurd met behulp van de Azure Monitor-agent.

Tip

Met aangepaste gegevensconnectors kunt u gegevens opnemen in Microsoft Sentinel vanuit gegevensbronnen die momenteel niet worden ondersteund door ingebouwde functionaliteit, zoals via agent, Logstash of API. Zie Resources voor het maken van aangepaste Microsoft Sentinel-connectors voor meer informatie.

Uw logboeken filteren vóór opname

Mogelijk wilt u de verzamelde logboeken of zelfs de inhoud van het logboek filteren voordat de gegevens worden opgenomen in Microsoft Sentinel. U kunt bijvoorbeeld logboeken uitfilteren die irrelevant of onbelangrijk zijn voor beveiligingsbewerkingen, of u wilt mogelijk ongewenste details uit logboekberichten verwijderen. Het filteren van berichtinhoud kan ook handig zijn bij het verlagen van de kosten bij het werken met Syslog-, CEF- of Windows-logboeken met veel irrelevante details.

Filter uw logboeken met behulp van een van de volgende methoden:

  • De Azure Monitor-agent. Ondersteund in zowel Windows als Linux voor het opnemen van Windows-beveiligingsgebeurtenissen. Filter de verzamelde logboeken door de agent zo te configureren dat alleen opgegeven gebeurtenissen worden verzameld.

  • Logstash. Ondersteunt het filteren van berichtinhoud, inclusief het aanbrengen van wijzigingen in de logboekberichten. Zie Verbinding maken met Logstash voor meer informatie.

Belangrijk

Als u Logstash gebruikt om de inhoud van uw bericht te filteren, worden uw logboeken opgenomen als aangepaste logboeken, waardoor logboeken in de gratis laag worden omgezet in logboeken met een betaalde laag.

Aangepaste logboeken moeten ook worden verwerkt in analyseregels, opsporing van bedreigingen en werkmappen, omdat ze niet automatisch worden toegevoegd. Aangepaste logboeken worden momenteel ook niet ondersteund voor machine learning-mogelijkheden .

Alternatieve vereisten voor gegevensopname

De standaardconfiguratie voor het verzamelen van gegevens werkt mogelijk niet goed voor uw organisatie, vanwege verschillende uitdagingen. In de volgende tabellen worden veelvoorkomende uitdagingen of vereisten en mogelijke oplossingen en overwegingen beschreven.

Notitie

Voor veel oplossingen die hieronder worden vermeld, is een aangepaste gegevensconnector vereist. Zie Resources voor het maken van aangepaste Microsoft Sentinel-connectors voor meer informatie.

On-premises Windows-logboekverzameling

Uitdaging/vereiste Mogelijke oplossingen Overwegingen
Logboekfiltering vereist Logstash gebruiken

Azure Functions gebruiken

LogicApps gebruiken

Aangepaste code gebruiken (.NET, Python)
Hoewel filteren kan leiden tot kostenbesparingen en alleen de vereiste gegevens opneemt, worden sommige Microsoft Sentinel-functies niet ondersteund, zoals UEBA, entiteitspagina's, machine learning en fusie.

Wanneer u logboekfiltering configureert, moet u updates aanbrengen in resources, zoals query's voor het opsporen van bedreigingen en analyseregels
Agent kan niet worden geïnstalleerd Windows Event Forwarding gebruiken, ondersteund met de Azure Monitor-agent Het doorsturen van Windows-gebeurtenissen verlaagt taakverdelingsgebeurtenissen per seconde van de Windows Event Collector, van 10.000 gebeurtenissen naar 500-1000 gebeurtenissen.
Servers maken geen verbinding met internet De Log Analytics-gateway gebruiken Voor het configureren van een proxy voor uw agent zijn extra firewallregels vereist om de gateway te laten werken.
Tagging en verrijking bij opname vereist Logstash gebruiken om een ResourceID in te voeren

Een ARM-sjabloon gebruiken om de ResourceID in on-premises machines te injecteren

De resource-id opnemen in afzonderlijke werkruimten
Log Analytics biedt geen ondersteuning voor RBAC voor aangepaste tabellen

Microsoft Sentinel biedt geen ondersteuning voor RBAC op rijniveau

Tip: misschien wilt u het ontwerp en de functionaliteit voor meerdere werkruimten gebruiken voor Microsoft Sentinel.
Vereist splitsbewerkings- en beveiligingslogboeken De functionaliteit Microsoft Monitor Agent of Azure Monitor Agent multi-home gebruiken Multi-home-functionaliteit vereist meer overhead voor de implementatie van de agent.
Vereist aangepaste logboeken Bestanden verzamelen uit specifieke mappaden

API-opname gebruiken

PowerShell gebruiken

Logstash gebruiken
Mogelijk ondervindt u problemen met het filteren van uw logboeken.

Aangepaste methoden worden niet ondersteund.

Voor aangepaste connectors zijn mogelijk ontwikkelaarsvaardigheden vereist.

On-premises Linux-logboekverzameling

Uitdaging/vereiste Mogelijke oplossingen Overwegingen
Logboekfiltering vereist Syslog-NG gebruiken

Rsyslog gebruiken

FluentD-configuratie gebruiken voor de agent

De Azure Monitor-agent/Microsoft Monitoring Agent gebruiken

Logstash gebruiken
Sommige Linux-distributies worden mogelijk niet ondersteund door de agent.

Voor het gebruik van Syslog of FluentD is kennis van ontwikkelaars vereist.

Zie Verbinding maken met Windows-servers om beveiligingsevenementen te verzamelen en Resources voor het maken van aangepaste connectors voor Microsoft Sentinel voor meer informatie.
Agent kan niet worden geïnstalleerd Gebruik een Syslog-doorstuurserver, zoals (syslog-ng of rsyslog.
Servers maken geen verbinding met internet De Log Analytics-gateway gebruiken Voor het configureren van een proxy voor uw agent zijn extra firewallregels vereist om de gateway te laten werken.
Tagging en verrijking bij opname vereist Gebruik Logstash voor verrijking of aangepaste methoden, zoals API of EventHubs. Mogelijk moet u extra moeite doen om te filteren.
Vereist splitsbewerkings- en beveiligingslogboeken Gebruik de Azure Monitor-agent met de multihoming-configuratie.
Vereist aangepaste logboeken Maak een aangepaste collector met behulp van de Microsoft Monitoring-agent (Log Analytics).

Eindpuntoplossingen

Als u logboeken wilt verzamelen van eindpuntoplossingen, zoals EDR, andere beveiligingsgebeurtenissen, Sysmon, enzovoort, gebruikt u een van de volgende methoden:

  • MTP-connector voor het verzamelen van logboeken van Microsoft 365 Defender voor Eindpunt. Met deze optie worden extra kosten in rekening gebracht voor de gegevensopname.
  • Windows Event Forwarding.

Notitie

Taakverdeling vermindert de gebeurtenissen per seconde die naar de werkruimte kunnen worden verwerkt.

Office-gegevens

Als u Microsoft Office-gegevens wilt verzamelen, gebruikt u een van de volgende oplossingen buiten de standaardconnectorgegevens:

Uitdaging/vereiste Mogelijke oplossingen Overwegingen
Onbewerkte gegevens verzamelen van Teams, berichttracering, phishinggegevens, enzovoort Gebruik de ingebouwde functionaliteit van de Office 365-connector en maak vervolgens een aangepaste connector voor andere onbewerkte gegevens. Het toewijzen van gebeurtenissen aan de bijbehorende recordID kan lastig zijn.
Vereist RBAC voor het splitsen van landen, afdelingen, enzovoort Pas uw gegevensverzameling aan door tags toe te voegen aan gegevens en speciale werkruimten te maken voor elke scheiding die nodig is. Voor het verzamelen van aangepaste gegevens zijn extra opnamekosten verbonden.
Vereist meerdere tenants in één werkruimte Pas uw gegevensverzameling aan met behulp van Azure LightHouse en een geïntegreerde incidentweergave. Voor het verzamelen van aangepaste gegevens zijn extra opnamekosten verbonden.

Zie Microsoft Sentinel uitbreiden in werkruimten en tenants voor meer informatie.

Gegevens van cloudplatforms

Uitdaging/vereiste Mogelijke oplossingen Overwegingen
Logboeken van andere platforms filteren Logstash gebruiken

De Azure Monitor-agent/Microsoft Monitoring-agent (Log Analytics) gebruiken
Aangepaste verzameling heeft extra opnamekosten.

Mogelijk hebt u de uitdaging om alle Windows-gebeurtenissen te verzamelen versus alleen beveiligingsevenementen.
Agent kan niet worden gebruikt Windows Event Forwarding gebruiken Mogelijk moet u de taken over uw resources verdelen.
Servers bevinden zich in een air-gapped-netwerk De Log Analytics-gateway gebruiken Voor het configureren van een proxy voor uw agent zijn firewallregels vereist om de gateway te laten werken.
RBAC, taggen en verrijking bij opname Maak een aangepaste verzameling via Logstash of de Log Analytics-API. RBAC wordt niet ondersteund voor aangepaste tabellen

RBAC op rijniveau wordt niet ondersteund voor tabellen.

Volgende stappen

Zie voor meer informatie: