Best practices voor gegevensverzameling

In deze sectie worden aanbevolen procedures voor het verzamelen van gegevens met behulp van Microsoft Sentinel-gegevensconnectors. Zie Verbinding maken gegevensbronnen, microsoft Sentinel-gegevensconnectors en de catalogus met Microsoft Sentinel-oplossingen voor meer informatie.

Prioriteit geven aan uw gegevensconnectors

Meer informatie over het prioriteren van uw gegevensconnectors als onderdeel van het implementatieproces van Microsoft Sentinel.

Uw logboeken filteren voordat u gegevens opneemt

U kunt de verzamelde logboeken of zelfs logboekinhoud filteren voordat de gegevens worden opgenomen in Microsoft Sentinel. U kunt bijvoorbeeld logboeken filteren die niet relevant of onbelangrijk zijn voor beveiligingsbewerkingen, of u wilt mogelijk ongewenste gegevens uit logboekberichten verwijderen. Het filteren van berichtinhoud kan ook handig zijn bij het verlagen van de kosten bij het werken met Syslog-, CEF- of Windows-logboeken met veel irrelevante details.

Filter uw logboeken met behulp van een van de volgende methoden:

  • De Azure Monitor-agent. Ondersteund op windows en Linux voor het opnemen van Windows-beveiligingsgebeurtenissen. Filter de logboeken die worden verzameld door de agent zo te configureren dat alleen opgegeven gebeurtenissen worden verzameld.

  • Logstash. Ondersteunt het filteren van berichtinhoud, waaronder het aanbrengen van wijzigingen in de logboekberichten. Zie Verbinding maken met Logstash voor meer informatie.

Belangrijk

Als u Logstash gebruikt om uw berichtinhoud te filteren, worden uw logboeken opgenomen als aangepaste logboeken, waardoor logboeken in de gratis laag worden opgenomen in logboeken met betaalde lagen.

Aangepaste logboeken moeten ook worden bewerkt in analyseregels, opsporing van bedreigingen en werkmappen, omdat ze niet automatisch worden toegevoegd. Aangepaste logboeken worden momenteel ook niet ondersteund voor Machine Learning-mogelijkheden .

Alternatieve vereisten voor gegevensopname

De standaardconfiguratie voor het verzamelen van gegevens werkt mogelijk niet goed voor uw organisatie vanwege verschillende uitdagingen. In de volgende tabellen worden veelvoorkomende uitdagingen of vereisten en mogelijke oplossingen en overwegingen beschreven.

Notitie

Voor veel oplossingen in de volgende secties is een aangepaste gegevensconnector vereist. Zie Bronnen voor het maken van aangepaste Microsoft Sentinel-connectors voor meer informatie.

On-premises Windows-logboekverzameling

Uitdaging/vereiste Mogelijke oplossingen Overwegingen
Logboekfiltering vereist Logstash gebruiken

Azure Functions gebruiken

LogicApps gebruiken

Aangepaste code gebruiken (.NET, Python)
Hoewel filteren kan leiden tot kostenbesparingen en alleen de vereiste gegevens opnemen, worden sommige Microsoft Sentinel-functies niet ondersteund, zoals UEBA, entiteitspagina's, machine learning en fusie.

Wanneer u logboekfiltering configureert, moet u updates aanbrengen in resources zoals query's voor het opsporen van bedreigingen en analyseregels
Agent kan niet worden geïnstalleerd Windows Event Forwarding gebruiken, ondersteund met de Azure Monitor-agent Als u Windows Event Forwarding gebruikt, worden taakverdelingsgebeurtenissen per seconde van de Windows Event Collector verlaagd van 10.000 gebeurtenissen tot 500-1000 gebeurtenissen.
Servers maken geen verbinding met internet De Log Analytics-gateway gebruiken Voor het configureren van een proxy voor uw agent zijn extra firewallregels vereist om de gateway te laten werken.
Vereist taggen en verrijking bij opname Logstash gebruiken om een ResourceID in te voeren

Een ARM-sjabloon gebruiken om de ResourceID in on-premises machines te injecteren

De resource-id opnemen in afzonderlijke werkruimten
Log Analytics biedt geen ondersteuning voor RBAC voor aangepaste tabellen

Microsoft Sentinel biedt geen ondersteuning voor RBAC op rijniveau

Tip: U kunt het ontwerp en de functionaliteit voor cross-workspaces gebruiken voor Microsoft Sentinel.
Vereist splitsbewerkingen en beveiligingslogboeken De functionaliteit voor meerdere startpagina's van Microsoft Monitor Agent of Azure Monitor Agent gebruiken Multi-home-functionaliteit vereist meer implementatie-overhead voor de agent.
Vereist aangepaste logboeken Bestanden verzamelen van specifieke mappaden

API-opname gebruiken

PowerShell gebruiken

Logstash gebruiken
Mogelijk hebt u problemen met het filteren van uw logboeken.

Aangepaste methoden worden niet ondersteund.

Voor aangepaste connectors zijn mogelijk ontwikkelaarsvaardigheden vereist.

On-premises Linux-logboekverzameling

Uitdaging/vereiste Mogelijke oplossingen Overwegingen
Logboekfiltering vereist Syslog-NG gebruiken

Rsyslog gebruiken

FluentD-configuratie gebruiken voor de agent

De Azure Monitor-agent/Microsoft Monitoring Agent gebruiken

Logstash gebruiken
Sommige Linux-distributies worden mogelijk niet ondersteund door de agent.

Voor het gebruik van Syslog of FluentD is kennis van ontwikkelaars vereist.

Zie Verbinding maken naar Windows-servers voor het verzamelen van beveiligingsevenementen en bronnen voor het maken van aangepaste Microsoft Sentinel-connectors voor meer informatie.
Agent kan niet worden geïnstalleerd Gebruik een Syslog-doorstuurserver, zoals (syslog-ng of rsyslog).
Servers maken geen verbinding met internet De Log Analytics-gateway gebruiken Voor het configureren van een proxy voor uw agent zijn extra firewallregels vereist om de gateway te laten werken.
Vereist taggen en verrijking bij opname Gebruik Logstash voor verrijking of aangepaste methoden, zoals API of Event Hubs. Mogelijk hebt u extra moeite nodig om te filteren.
Vereist splitsbewerkingen en beveiligingslogboeken Gebruik de Azure Monitor-agent met de multihoming-configuratie.
Vereist aangepaste logboeken Maak een aangepaste collector met behulp van de Microsoft Monitoring-agent (Log Analytics).

Eindpuntoplossingen

Als u logboeken van eindpuntoplossingen wilt verzamelen, zoals EDR, andere beveiligingsgebeurtenissen, Sysmon, enzovoort, gebruikt u een van de volgende methoden:

  • Microsoft Defender XDR-connector voor het verzamelen van logboeken van Microsoft Defender voor Eindpunt. Met deze optie worden extra kosten in rekening gebracht voor de gegevensopname.
  • Windows Event Forwarding.

Notitie

Taakverdeling vermindert de gebeurtenissen per seconde die naar de werkruimte kunnen worden verwerkt.

Office-gegevens

Als u Microsoft Office-gegevens wilt verzamelen, gebruikt u een van de volgende oplossingen buiten de standaardconnectorgegevens:

Uitdaging/vereiste Mogelijke oplossingen Overwegingen
Onbewerkte gegevens verzamelen van Teams, berichttracering, phishinggegevens, enzovoort Gebruik de ingebouwde functionaliteit van de Office 365-connector en maak vervolgens een aangepaste connector voor andere onbewerkte gegevens. Het toewijzen van gebeurtenissen aan de bijbehorende recordID kan lastig zijn.
Vereist RBAC voor het splitsen van landen/regio's, afdelingen enzovoort Pas uw gegevensverzameling aan door tags toe te voegen aan gegevens en toegewezen werkruimten te maken voor elke scheiding die nodig is. Het verzamelen van aangepaste gegevens heeft extra opnamekosten.
Vereist meerdere tenants in één werkruimte Pas uw gegevensverzameling aan met behulp van Azure LightHouse en een uniforme incidentweergave. Het verzamelen van aangepaste gegevens heeft extra opnamekosten.

Zie Microsoft Sentinel uitbreiden tussen werkruimten en tenants voor meer informatie.

Cloudplatformgegevens

Uitdaging/vereiste Mogelijke oplossingen Overwegingen
Logboeken van andere platforms filteren Logstash gebruiken

De Azure Monitor Agent/Microsoft Monitoring-agent (Log Analytics) gebruiken
Aangepaste verzameling heeft extra opnamekosten.

Mogelijk hebt u een uitdaging om alle Windows-gebeurtenissen te verzamelen versus alleen beveiligingsevenementen.
Agent kan niet worden gebruikt Windows Event Forwarding gebruiken Mogelijk moet u taken verdelen over uw resources.
Servers bevinden zich in een netwerk met een air-gapped netwerk De Log Analytics-gateway gebruiken Voor het configureren van een proxy voor uw agent zijn firewallregels vereist om de gateway te laten werken.
RBAC, taggen en verrijking bij opname Maak een aangepaste verzameling via Logstash of de Log Analytics-API. RBAC wordt niet ondersteund voor aangepaste tabellen

RBAC op rijniveau wordt niet ondersteund voor tabellen.

Volgende stappen

Zie voor meer informatie: