Najlepsze rozwiązania dotyczące zbierania danych
W tej sekcji poznać najlepsze rozwiązania dotyczące zbierania danych przy użyciu łączników danych usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Łączenie źródeł danych, dokumentacja łączników danych usługi Microsoft Sentinel i wykaz rozwiązań usługi Microsoft Sentinel.
Określanie priorytetów łączników danych
Dowiedz się, jak określić priorytety łączników danych w ramach procesu wdrażania usługi Microsoft Sentinel.
Filtrowanie dzienników przed pozyskiwaniem
Możesz filtrować zebrane dzienniki, a nawet zawartość dziennika, zanim dane zostaną pozyskane do usługi Microsoft Sentinel. Na przykład możesz odfiltrować dzienniki, które są nieistotne lub nieistotne w operacjach zabezpieczeń, lub możesz usunąć niepożądane szczegóły z komunikatów dziennika. Filtrowanie zawartości wiadomości może być również przydatne podczas próby obniżania kosztów podczas pracy z dziennikami syslog, CEF lub windows, które mają wiele nieistotnych szczegółów.
Przefiltruj dzienniki przy użyciu jednej z następujących metod:
Agent usługi Azure Monitor. Obsługiwane zarówno w systemach Windows, jak i Linux w celu pozyskiwania zdarzeń zabezpieczeń systemu Windows. Filtrowanie dzienników zebranych przez skonfigurowanie agenta w celu zbierania tylko określonych zdarzeń.
Usługa Logstash. Obsługuje filtrowanie zawartości komunikatów, w tym wprowadzanie zmian w komunikatach dziennika. Aby uzyskać więcej informacji, zobacz Connect with Logstash (Nawiązywanie połączenia z usługą Logstash).
Ważne
Filtrowanie zawartości wiadomości przy użyciu usługi Logstash spowoduje pozyskiwanie dzienników jako dzienników niestandardowych, co powoduje, że wszystkie dzienniki warstwy bezpłatnej staną się dziennikami warstwy płatnej.
Dzienniki niestandardowe należy również pracować z regułami analizy, wyszukiwaniem zagrożeń i skoroszytami, ponieważ nie są one automatycznie dodawane. Dzienniki niestandardowe nie są obecnie obsługiwane w przypadku możliwości usługi Machine Learning .
Wymagania dotyczące pozyskiwania danych alternatywnych
Konfiguracja Standardowa zbierania danych może nie działać dobrze w organizacji ze względu na różne wyzwania. W poniższych tabelach opisano typowe wyzwania lub wymagania oraz możliwe rozwiązania i zagadnienia.
Uwaga
Wiele rozwiązań wymienionych w poniższych sekcjach wymaga niestandardowego łącznika danych. Aby uzyskać więcej informacji, zobacz Zasoby dotyczące tworzenia łączników niestandardowych usługi Microsoft Sentinel.
Lokalna kolekcja dzienników systemu Windows
| Wyzwanie/wymaganie | Możliwe rozwiązania | Kwestie wymagające rozważenia |
|---|---|---|
| Wymaga filtrowania dzienników | Korzystanie z usługi Logstash Korzystanie z usługi Azure Functions Korzystanie z usługi LogicApps Używanie kodu niestandardowego (.NET, Python) |
Chociaż filtrowanie może prowadzić do obniżenia kosztów i pozyskiwania tylko wymaganych danych, niektóre funkcje usługi Microsoft Sentinel nie są obsługiwane, takie jak UEBA, strony jednostek, uczenie maszynowe i łączenie. Podczas konfigurowania filtrowania dzienników należy wprowadzać aktualizacje w zasobach, takich jak zapytania wyszukiwania zagrożeń i reguły analizy |
| Nie można zainstalować agenta | Używanie funkcji przekazywania zdarzeń systemu Windows obsługiwanego przez agenta usługi Azure Monitor | Użycie przekazywania zdarzeń systemu Windows zmniejsza równoważenie obciążenia zdarzeń na sekundę z modułu zbierającego zdarzenia systemu Windows z 10 000 zdarzeń do 500–1000 zdarzeń. |
| Serwery nie łączą się z Internetem | Korzystanie z bramy usługi Log Analytics | Skonfigurowanie serwera proxy do agenta wymaga dodatkowych reguł zapory, aby umożliwić działanie bramy. |
| Wymaga tagowania i wzbogacania podczas pozyskiwania | Używanie usługi Logstash do wstrzykiwania identyfikatora ResourceID Używanie szablonu usługi ARM do wstrzykiwania identyfikatora ResourceID na maszynach lokalnych Pozyskiwanie identyfikatora zasobu do oddzielnych obszarów roboczych |
Usługa Log Analytics nie obsługuje kontroli dostępu opartej na rolach dla tabel niestandardowych Usługa Microsoft Sentinel nie obsługuje kontroli dostępu opartej na rolach na poziomie wiersza Porada: warto wdrożyć projekt i funkcjonalność między obszarami roboczymi w usłudze Microsoft Sentinel. |
| Wymaga dzielenia operacji i dzienników zabezpieczeń | Korzystanie z funkcji programu Microsoft Monitor Agent lub agenta usługi Azure Monitor dla wielu urządzeń domowych | Funkcje obejmujące wiele domów wymagają większego nakładu pracy związanego z wdrażaniem agenta. |
| Wymaga dzienników niestandardowych | Zbieranie plików z określonych ścieżek folderów Korzystanie z pozyskiwania interfejsu API Korzystanie z programu PowerShell Korzystanie z usługi Logstash |
Mogą wystąpić problemy z filtrowaniem dzienników. Metody niestandardowe nie są obsługiwane. Łączniki niestandardowe mogą wymagać umiejętności deweloperów. |
Lokalna kolekcja dzienników systemu Linux
| Wyzwanie/wymaganie | Możliwe rozwiązania | Kwestie wymagające rozważenia |
|---|---|---|
| Wymaga filtrowania dzienników | Korzystanie z usługi Syslog-NG Korzystanie z narzędzia Rsyslog Używanie konfiguracji FluentD dla agenta Korzystanie z agenta usługi Azure Monitor/programu Microsoft Monitoring Agent Korzystanie z usługi Logstash |
Niektóre dystrybucje systemu Linux mogą nie być obsługiwane przez agenta. Korzystanie z usługi Syslog lub FluentD wymaga wiedzy dewelopera. Aby uzyskać więcej informacji, zobacz Łączenie z serwerami z systemem Windows w celu zbierania zdarzeń zabezpieczeń i zasobów na potrzeby tworzenia łączników niestandardowych usługi Microsoft Sentinel. |
| Nie można zainstalować agenta | Użyj usługi przesyłania dalej syslog, na przykład (syslog-ng lub rsyslog). | |
| Serwery nie łączą się z Internetem | Korzystanie z bramy usługi Log Analytics | Skonfigurowanie serwera proxy do agenta wymaga dodatkowych reguł zapory, aby umożliwić działanie bramy. |
| Wymaga tagowania i wzbogacania podczas pozyskiwania | Usługa Logstash służy do wzbogacania lub niestandardowych metod, takich jak interfejs API lub event hubs. | W przypadku filtrowania może być wymagane dodatkowe nakłady pracy. |
| Wymaga dzielenia operacji i dzienników zabezpieczeń | Użyj agenta usługi Azure Monitor z konfiguracją z wieloma homingami. | |
| Wymaga dzienników niestandardowych | Utwórz niestandardowy moduł zbierający przy użyciu agenta usługi Microsoft Monitoring (Log Analytics). |
Rozwiązania punktów końcowych
Jeśli musisz zbierać dzienniki z rozwiązań punktu końcowego, takich jak EDR, inne zdarzenia zabezpieczeń, Systemmon itd., użyj jednej z następujących metod:
- Łącznik XDR usługi Microsoft Defender do zbierania dzienników z Ochrona punktu końcowego w usłudze Microsoft Defender. Ta opcja wiąże się z dodatkowymi kosztami pozyskiwania danych.
- Przekazywanie zdarzeń systemu Windows.
Uwaga
Równoważenie obciążenia zmniejsza obciążenie zdarzeń na sekundę, które można przetworzyć w obszarze roboczym.
Dane pakietu Office
Jeśli musisz zebrać dane pakietu Microsoft Office poza standardowymi danymi łącznika, użyj jednego z następujących rozwiązań:
| Wyzwanie/wymaganie | Możliwe rozwiązania | Kwestie wymagające rozważenia |
|---|---|---|
| Zbieranie danych pierwotnych z usługi Teams, śledzenie wiadomości, wyłudzanie informacji itd. | Użyj wbudowanych funkcji łącznika usługi Office 365, a następnie utwórz łącznik niestandardowy dla innych danych pierwotnych. | Mapowanie zdarzeń na odpowiadający identyfikator recordID może być trudne. |
| Wymaga kontroli dostępu opartej na rolach na potrzeby dzielenia krajów/regionów, działów itd. | Dostosuj zbieranie danych, dodając tagi do danych i tworząc dedykowane obszary robocze dla każdej wymaganej separacji. | Zbieranie danych niestandardowych ma dodatkowe koszty pozyskiwania. |
| Wymaga wielu dzierżaw w jednym obszarze roboczym | Dostosowywanie zbierania danych przy użyciu usługi Azure LightHouse i ujednoliconego widoku zdarzeń. | Zbieranie danych niestandardowych ma dodatkowe koszty pozyskiwania. Aby uzyskać więcej informacji, zobacz Rozszerzanie usługi Microsoft Sentinel między obszarami roboczymi i dzierżawami. |
Dane platformy w chmurze
| Wyzwanie/wymaganie | Możliwe rozwiązania | Kwestie wymagające rozważenia |
|---|---|---|
| Filtrowanie dzienników z innych platform | Korzystanie z usługi Logstash Korzystanie z agenta usługi Azure Monitor /microsoft monitoring (Log Analytics) |
Kolekcja niestandardowa ma dodatkowe koszty pozyskiwania. Może wystąpić wyzwanie dotyczące zbierania wszystkich zdarzeń systemu Windows a tylko zdarzeń zabezpieczeń. |
| Nie można użyć agenta | Korzystanie z funkcji przekazywania zdarzeń systemu Windows | Może być konieczne równoważenie obciążenia zasobów. |
| Serwery znajdują się w sieci rozgniewanej powietrzem | Korzystanie z bramy usługi Log Analytics | Skonfigurowanie serwera proxy do agenta wymaga reguł zapory, aby umożliwić działanie bramy. |
| Kontrola dostępu oparta na rolach, tagowanie i wzbogacanie podczas pozyskiwania | Utwórz kolekcję niestandardową za pomocą usługi Logstash lub interfejsu API usługi Log Analytics. | Kontrola dostępu oparta na rolach nie jest obsługiwana w przypadku tabel niestandardowych Kontrola RBAC na poziomie wiersza nie jest obsługiwana w przypadku żadnych tabel. |
Następne kroki
Aby uzyskać więcej informacji, zobacz: