Melhores práticas de coleta de dados
Esta seção examina as práticas recomendadas para coletar dados usando conectores de dados do Microsoft Sentinel. Para saber mais, confira Conectar fontes de dados, Referência de conectores de dados do Microsoft Sentinel e o Catálogo de soluções do Microsoft Sentinel.
Priorize seus conectores de dados
Saiba como priorizar seus conectores de dados como parte do processo de implantação do Microsoft Sentinel.
Filtrar os logs antes da ingestão
Talvez você queira filtrar os logs coletados ou até mesmo o conteúdo do log antes que os dados sejam ingeridos no Microsoft Sentinel. Por exemplo, talvez você queira filtrar os logs que são irrelevantes ou não importantes para as operações de segurança, ou talvez queira remover detalhes indesejados das mensagens de log. Filtrar o conteúdo da mensagem também pode ser útil ao tentar reduzir os custos ao trabalhar com o Syslog, CEF ou logs baseados em Windows que têm muitos detalhes irrelevantes.
Filtre seus logs usando um dos seguintes métodos:
O Agente do Azure Monitor. Com suporte no Windows e no Linux para ingerir Eventos de segurança do Windows. Filtre os logs coletados configurando o agente para coletar apenas os eventos especificados.
Logstash. Dá suporte à filtragem de conteúdo de mensagens, incluindo alterações nas mensagens de log. Para saber mais, confira Conectar-se com Logstash.
Importante
O uso de Logstash para filtrar o conteúdo da mensagem fará com que os logs sejam ingeridos como logs personalizados, fazendo com que os logs de camada gratuita se tornem logs de camada paga.
Os logs personalizados também precisam ser trabalhados em regras de análise, busca de ameaças e pastas de trabalho, pois não são adicionadas automaticamente. Os logs personalizados também não têm suporte para funcionalidades de Machine Learning.
Requisitos alternativos de ingestão de dados
A configuração padrão para coleta de dados pode não funcionar bem para sua organização devido a vários desafios. As tabelas a seguir descrevem desafios ou requisitos comuns e possíveis soluções e considerações.
Observação
Muitas soluções listadas nas seções a seguir exigem um conector de dados personalizado. Para obter mais informações, confira Recursos para criar conectores personalizados do Microsoft Sentinel.
Coleta de log do Windows local
| Desafio/requisito | Soluções possíveis | Considerações |
|---|---|---|
| Requer filtragem de log | Usar Logstash Usar o Azure Functions Usar LogicApps Usar código personalizado (.NET, Python) |
Embora a filtragem possa levar à economia de custos e ingira apenas os dados necessários, não há suporte para alguns recursos do Azure Sentinel, como UEBA, páginas de entidades, aprendizado de máquina e fusão. Ao configurar a filtragem de log, faça atualizações em recursos, como consultas de busca de ameaças e regras de análise |
| Não é possível instalar o agente | Usar o Encaminhamento de Eventos do Windows, compatível com o Agente do Azure Monitor | Usar o Encaminhamento de Eventos do Windows reduz os eventos de balanceamento de carga por segundo do coletor de eventos Windows de 10 mil eventos para 500-1000 eventos. |
| Os servidores não conseguiram se conectar à Internet | Use o Gateway do Log Analytics | Configurar um proxy para o agente requer regras de firewall adicionais para permitir que o gateway funcione. |
| Requer marcação e enriquecimento na ingestão | Usar Logstash para injetar um ResourceID Usar um modelo ARM para injetar o ResourceID em computadores locais Ingerir a ID do recurso em workspaces separados |
O Log Analytics não oferece suporte a RBAC para tabelas personalizadas O Microsoft Sentinel não oferece suporte a RBAC em nível de linha Dica: talvez você queira adotar o design e a funcionalidade entre workspaces para o Microsoft Sentinel. |
| Requer a divisão da operação e dos logs de segurança | Usar a funcionalidade multi-home do Agente do Microsoft Monitor ou do Agente do Azure Monitor | A funcionalidade de hospedagem múltipla requer mais sobrecarga de implantação para o agente. |
| Requer logs personalizados | Coletar arquivos de caminhos de pastas específicas Usar ingestão de API Usar o PowerShell Usar Logstash |
Você pode ter problemas para filtrar os logs. Não há suporte para métodos personalizados. Conectores personalizados podem exigir habilidades de desenvolvedor. |
Coleção de logs do Linux local
| Desafio/requisito | Soluções possíveis | Considerações |
|---|---|---|
| Requer filtragem de log | Usar Syslog-NG Usar Rsyslog Usar a configuração FluentD para o agente Usar o Agente do Azure Monitor/Agente de Monitoramento da Microsoft Usar Logstash |
Algumas distribuições do Linux podem não ser compatíveis com o agente. O uso do Syslog ou do FluentD requer conhecimento do desenvolvedor. Para obter mais informações, confira Conexão a servidores Windows para coletar eventos de segurança e recursos para criar conectores personalizados do Microsoft Sentinel. |
| Não é possível instalar o agente | Use um encaminhador de Syslog, como (syslog-ng ou rsyslog). | |
| Os servidores não conseguiram se conectar à Internet | Use o Gateway do Log Analytics | Configurar um proxy para o agente requer regras de firewall adicionais para permitir que o gateway funcione. |
| Requer marcação e enriquecimento na ingestão | Use o Logstash para enriquecimento ou métodos personalizados, como API ou Hubs de Eventos. | Pode ser necessário um esforço extra para a filtragem. |
| Requer a divisão da operação e dos logs de segurança | Use o Agente do Azure Monitor com a configuração de hospedagem múltipla. | |
| Requer logs personalizados | Crie um coletor personalizado usando o agente do Microsoft Monitoring (Log Analytics). |
Soluções de ponto de extremidade
Se você precisar coletar logs de soluções de ponto de extremidade, como EDR, outros eventos de segurança, Sysmon e assim por diante, use um dos seguintes métodos:
- Conector XDR do Microsoft Defender para coletar logs do Microsoft Defender for Endpoint. Essa opção gera custos extras para a ingestão de dados.
- Encaminhamento de Eventos do Windows.
Observação
O balanceamento de carga reduz os eventos por segundo que podem ser processados no workspace.
Dados do Office
Se você precisar coletar dados do Microsoft Office, fora dos dados do conector padrão, use uma das seguintes soluções:
| Desafio/requisito | Soluções possíveis | Considerações |
|---|---|---|
| Coletar dados brutos do Teams, rastreamento de mensagens, dados de phishing etc. | Use a funcionalidade do conector Office 365 e crie um conector personalizado para outros dados brutos. | Mapear eventos para a recordID correspondente pode ser um desafio. |
| Requer RBAC para dividir países/regiões, departamentos etc. | Personalize sua coleta de dados adicionando marcas a dados e criando workspaces dedicados para cada separação necessária. | A coleta de dados personalizada tem custos extras de ingestão. |
| Requer vários locatários em um só workspace | Personalize sua coleta de dados usando o Azure LightHouse e uma exibição de incidente unificada. | A coleta de dados personalizada tem custos extras de ingestão. Para obter mais informações, confira Estender o Microsoft Sentinel entre workspaces e locatários. |
Dados da plataforma de nuvem
| Desafio/requisito | Soluções possíveis | Considerações |
|---|---|---|
| Filtrar logs de outras plataformas | Usar Logstash Usar o Agente do Azure Monitor/Microsoft Monitoring Agent (Log Analytics) |
A coleta personalizada tem custos extras de ingestão. Você pode ter um desafio de coletar todos os eventos Windows versus apenas eventos de segurança. |
| O agente não pode ser usado | Usar Encaminhamento de Eventos do Windows | Talvez seja necessário balancear a carga dos esforços em seus recursos. |
| Os servidores estão em uma rede com air-gap | Use o gateway do Log Analytics | Configurar um proxy para o agente requer regras de firewall para permitir que o gateway funcione. |
| RBAC, marcação e enriquecimento na ingestão | Crie uma coleção personalizada por meio do Logstash ou da API do Log Analytics. | O RBAC não é suportado para tabelas personalizadas Não há suporte para RBAC em nível de linha para nenhuma tabela. |
Próximas etapas
Para obter mais informações, consulte: