Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta secção analisa as melhores práticas para recolher dados com conectores de dados Microsoft Sentinel. Para obter mais informações, veja Ligar origens de dados, Microsoft Sentinel referência de conectores de dados e o catálogo de soluções de Microsoft Sentinel.
Priorizar os conectores de dados
Saiba como priorizar os conectores de dados como parte do processo de implementação Microsoft Sentinel.
Filtrar os registos antes da ingestão
Poderá querer filtrar os registos recolhidos, ou até mesmo o conteúdo de registo, antes de os dados serem ingeridos no Microsoft Sentinel. Por exemplo, poderá querer filtrar registos irrelevantes ou não importantes para operações de segurança ou pode querer remover detalhes indesejados das mensagens de registo. Filtrar conteúdos de mensagens também pode ser útil ao tentar reduzir os custos ao trabalhar com o Syslog, CEF ou registos baseados no Windows que têm muitos detalhes irrelevantes.
Filtre os registos com um dos seguintes métodos:
O Agente Azure Monitor. Suportado no Windows e no Linux para ingerir eventos de segurança do Windows. Filtre os registos recolhidos ao configurar o agente para recolher apenas eventos especificados.
Logstash. Suporta a filtragem de conteúdos de mensagens, incluindo efetuar alterações às mensagens de registo. Para obter mais informações, veja Connect with Logstash (Ligar com o Logstash).
Importante
A utilização do Logstash para filtrar o conteúdo da mensagem fará com que os registos sejam ingeridos como registos personalizados, fazendo com que os registos de escalão gratuito se tornem registos de camada paga.
Os registos personalizados também têm de ser trabalhados em regras de análise, investigação de ameaças e livros, uma vez que não são adicionados automaticamente. Os registos personalizados também não são atualmente suportados para as capacidades do Machine Learning .
Requisitos alternativos de ingestão de dados
Standard configuração da recolha de dados pode não funcionar bem para a sua organização, devido a vários desafios. As tabelas seguintes descrevem desafios ou requisitos comuns e possíveis soluções e considerações.
Observação
Muitas das soluções listadas nas secções seguintes necessitam de um conector de dados personalizado. Para obter mais informações, veja Recursos para criar Microsoft Sentinel conectores personalizados.
Coleção de registos do Windows no local
| Desafio/Requisito | Soluções possíveis | Considerações |
|---|---|---|
| Requer filtragem de registos | Utilizar Logstash Usar o Azure Functions Utilizar o LogicApps Utilizar código personalizado (.NET, Python) |
Embora a filtragem possa resultar numa poupança de custos e ingerir apenas os dados necessários, algumas funcionalidades Microsoft Sentinel não são suportadas, como UEBA, páginas de entidades, machine learning e fusão. Ao configurar a filtragem de registos, faça atualizações em recursos como consultas de investigação de ameaças e regras de análise. |
| Não é possível instalar o agente | Utilizar o Reencaminhamento de Eventos do Windows, suportado com o Agente do Azure Monitor | A utilização do reencaminhamento de Eventos do Windows reduz os eventos de balanceamento de carga por segundo do Recoletor de Eventos do Windows, de 10 000 eventos para 500 a 1000 eventos. |
| Os servidores não se ligam à Internet | Utilizar o gateway do Log Analytics | A configuração de um proxy para o agente requer regras de firewall adicionais para permitir que o Gateway funcione. |
| Requer etiquetagem e melhoramento na ingestão | Utilizar o Logstash para injetar um ResourceID Utilizar um modelo do ARM para injetar o ResourceID em máquinas no local Ingerir o ID do recurso em áreas de trabalho separadas |
O Log Analytics não suporta o controlo de acesso baseado em funções (RBAC) para tabelas personalizadas. Microsoft Sentinel não suporta RBAC ao nível da linha. Sugestão: poderá querer adotar a estrutura e a funcionalidade entre áreas de trabalho para Microsoft Sentinel. |
| Requer a divisão de operações e registos de segurança | Utilizar o Agente do Microsoft Monitor ou a funcionalidade multi-home do Agente do Azure Monitor | A funcionalidade multi-home requer mais sobrecarga de implementação para o agente. |
| Requer registos personalizados | Recolher ficheiros de caminhos de pastas específicos Utilizar a ingestão de API Usar o Windows PowerShell! Utilizar Logstash |
Poderá ter problemas ao filtrar os registos. Os métodos personalizados não são suportados. Os conectores personalizados podem exigir competências para programadores. |
Coleção de registos Linux no local
| Desafio/Requisito | Soluções possíveis | Considerações |
|---|---|---|
| Requer filtragem de registos | Utilizar o Syslog-NG Utilizar o Rsyslog Utilizar a configuração FluentD para o agente Utilizar o Agente do Azure Monitor/Microsoft Monitoring Agent Utilizar Logstash |
Algumas distribuições Linux podem não ser suportadas pelo agente. Utilizar o Syslog ou FluentD requer conhecimento do programador. Para obter mais informações, veja Ligar a servidores Windows para recolher eventos de segurança e Recursos para criar Microsoft Sentinel conectores personalizados. |
| Não é possível instalar o agente | Utilize um reencaminhador Syslog, como (syslog-ng ou rsyslog. | |
| Os servidores não se ligam à Internet | Utilizar o gateway do Log Analytics | A configuração de um proxy para o agente requer regras de firewall adicionais para permitir que o Gateway funcione. |
| Requer etiquetagem e melhoramento na ingestão | Utilize o Logstash para melhorar ou métodos personalizados, como a API ou os Hubs de Eventos. | Poderá ter um esforço adicional necessário para filtrar. |
| Requer a divisão de operações e registos de segurança | Utilize o Agente Azure Monitor com a configuração multi-homing. | |
| Requer registos personalizados | Crie um recoletor personalizado com o agente do Microsoft Monitoring (Log Analytics). |
Soluções de ponto final
Se precisar de recolher registos de soluções de Ponto Final, como EDR, outros eventos de segurança, Sysmon, etc., utilize um dos seguintes métodos:
- Microsoft Defender XDR conector para recolher registos de Microsoft Defender para Ponto de Extremidade. Esta opção implica custos adicionais para a ingestão de dados.
- Reencaminhamento de Eventos do Windows.
Observação
O balanceamento de carga reduz os eventos por segundo que podem ser processados para a área de trabalho.
Dados do Office
Se precisar de recolher dados do Microsoft Office, fora dos dados do conector padrão, utilize uma das seguintes soluções:
| Desafio/Requisito | Soluções possíveis | Considerações |
|---|---|---|
| Recolher dados não processados do Teams, rastreio de mensagens, dados de phishing, etc. | Utilize a funcionalidade incorporada do conector Office 365 e, em seguida, crie um conector personalizado para outros dados não processados. | Mapear eventos para o recordID correspondente pode ser um desafio. |
| Requer RBAC para dividir países/regiões, departamentos, etc. | Personalize a recolha de dados ao adicionar etiquetas aos dados e ao criar áreas de trabalho dedicadas para cada separação necessária. | A recolha de dados personalizada tem custos adicionais de ingestão. |
| Requer vários inquilinos numa única área de trabalho | Personalize a recolha de dados com Azure LightHouse e uma vista de incidente unificada. | A recolha de dados personalizada tem custos adicionais de ingestão. Para obter mais informações, veja Extend Microsoft Sentinel across workspaces and tenants (Expandir Microsoft Sentinel entre áreas de trabalho e inquilinos). |
Dados da plataforma na cloud
| Desafio/Requisito | Soluções possíveis | Considerações |
|---|---|---|
| Filtrar registos de outras plataformas | Utilizar Logstash Utilizar o agente do Azure Monitor/Microsoft Monitoring (Log Analytics) |
A coleção personalizada tem custos de ingestão adicionais. Poderá ter um desafio de recolher todos os eventos do Windows vs. apenas eventos de segurança. |
| Não é possível utilizar o agente | Utilizar o Reencaminhamento de Eventos do Windows | Poderá ter de fazer o balanceamento de carga nos seus recursos. |
| Os servidores estão numa rede com acesso aéreo | Utilizar o gateway do Log Analytics | A configuração de um proxy para o agente requer regras de firewall para permitir que o Gateway funcione. |
| RBAC, etiquetagem e melhoramento na ingestão | Crie uma coleção personalizada através do Logstash ou da API do Log Analytics. | O RBAC não é suportado para tabelas personalizadas O RBAC ao nível da linha não é suportado para tabelas. |
Conteúdo relacionado
Para saber mais, confira: