Melhores práticas da recolha de dados
Esta seção analisa as práticas recomendadas para coletar dados usando conectores de dados do Microsoft Sentinel. Para obter mais informações, consulte Conectar fontes de dados, Referência de conectores de dados do Microsoft Sentinel e o catálogo de soluções do Microsoft Sentinel.
Priorize seus conectores de dados
Saiba como priorizar seus conectores de dados como parte do processo de implantação do Microsoft Sentinel.
Filtre os seus registos antes da ingestão
Talvez você queira filtrar os logs coletados, ou até mesmo o conteúdo do log, antes que os dados sejam ingeridos no Microsoft Sentinel. Por exemplo, talvez você queira filtrar logs irrelevantes ou sem importância para operações de segurança ou remover detalhes indesejados de mensagens de log. Filtrar o conteúdo da mensagem também pode ser útil ao tentar reduzir os custos ao trabalhar com Syslog, CEF ou logs baseados no Windows que têm muitos detalhes irrelevantes.
Filtre seus logs usando um dos seguintes métodos:
O Agente do Azure Monitor. Suportado em Windows e Linux para ingerir eventos de segurança do Windows. Filtre os logs coletados configurando o agente para coletar apenas eventos especificados.
Logstash. Suporta a filtragem do conteúdo das mensagens, incluindo a realização de alterações nas mensagens de registo. Para obter mais informações, consulte Conectar-se com o Logstash.
Importante
Usar o Logstash para filtrar o conteúdo da mensagem fará com que os logs sejam ingeridos como logs personalizados, fazendo com que todos os logs de camada livre se tornem logs de nível pago.
Os logs personalizados também precisam ser trabalhados em regras de análise, caça a ameaças e pastas de trabalho, pois não são adicionados automaticamente. Os logs personalizados também não são suportados atualmente para recursos de Machine Learning .
Requisitos alternativos de ingestão de dados
A configuração padrão para coleta de dados pode não funcionar bem para sua organização, devido a vários desafios. As tabelas a seguir descrevem desafios ou requisitos comuns e possíveis soluções e considerações.
Nota
Muitas soluções listadas nas seções a seguir exigem um conector de dados personalizado. Para obter mais informações, consulte Recursos para criar conectores personalizados do Microsoft Sentinel.
Coleta de logs do Windows local
| Desafio / Requisito | Possíveis soluções | Considerações |
|---|---|---|
| Requer filtragem de log | Usar o Logstash Usar o Azure Functions Usar LogicApps Usar código personalizado (.NET, Python) |
Embora a filtragem possa gerar economia de custos e ingerir apenas os dados necessários, alguns recursos do Microsoft Sentinel não são suportados, como UEBA, páginas de entidade, aprendizado de máquina e fusão. Ao configurar a filtragem de logs, faça atualizações em recursos como consultas de caça a ameaças e regras de análise |
| O agente não pode ser instalado | Usar o Encaminhamento de Eventos do Windows, com suporte com o Azure Monitor Agent | O uso do encaminhamento de eventos do Windows reduz os eventos de balanceamento de carga por segundo do Coletor de Eventos do Windows, de 10.000 eventos para 500 a 1000 eventos. |
| Os servidores não se conectam à Internet | Usar o gateway do Log Analytics | Configurar um proxy para seu agente requer regras de firewall adicionais para permitir que o Gateway funcione. |
| Requer marcação e enriquecimento na ingestão | Use o Logstash para injetar um ResourceID Usar um modelo ARM para injetar o ResourceID em máquinas locais Ingerir o ID do recurso em espaços de trabalho separados |
O Log Analytics não suporta RBAC para tabelas personalizadas O Microsoft Sentinel não suporta RBAC de nível de linha Dica: talvez você queira adotar o design e a funcionalidade entre espaços de trabalho para o Microsoft Sentinel. |
| Requer a divisão de logs de operação e segurança | Usar a funcionalidade multi-home do Microsoft Monitor Agent ou do Azure Monitor Agent | A funcionalidade multi-home requer mais sobrecarga de implantação para o agente. |
| Requer logs personalizados | Coletar arquivos de caminhos de pastas específicos Usar ingestão de API Usar o PowerShell Usar o Logstash |
Você pode ter problemas para filtrar seus logs. Não há suporte para métodos personalizados. Conectores personalizados podem exigir habilidades de desenvolvedor. |
Coleção de logs do Linux local
| Desafio / Requisito | Possíveis soluções | Considerações |
|---|---|---|
| Requer filtragem de log | Usar Syslog-NG Utilizar o Rsyslog Usar a configuração FluentD para o agente Usar o Azure Monitor Agent/Microsoft Monitoring Agent Usar o Logstash |
Algumas distribuições Linux podem não ser suportadas pelo agente. Usar Syslog ou FluentD requer conhecimento do desenvolvedor. Para obter mais informações, consulte Conectar-se a servidores Windows para coletar eventos de segurança e Recursos para criar conectores personalizados do Microsoft Sentinel. |
| O agente não pode ser instalado | Use um encaminhador Syslog, como (syslog-ng ou rsyslog. | |
| Os servidores não se conectam à Internet | Usar o gateway do Log Analytics | Configurar um proxy para seu agente requer regras de firewall adicionais para permitir que o Gateway funcione. |
| Requer marcação e enriquecimento na ingestão | Use o Logstash para enriquecimento ou métodos personalizados, como API ou Hubs de Eventos. | Você pode ter um esforço extra necessário para filtrar. |
| Requer a divisão de logs de operação e segurança | Use o Azure Monitor Agent com a configuração multi-homing. | |
| Requer logs personalizados | Crie um coletor personalizado usando o agente Microsoft Monitoring (Log Analytics). |
Soluções de terminais
Se você precisar coletar logs de soluções Endpoint, como EDR, outros eventos de segurança, Sysmon e assim por diante, use um dos seguintes métodos:
- Conector XDR do Microsoft Defender para coletar logs do Microsoft Defender for Endpoint. Esta opção implica custos adicionais pela ingestão de dados.
- Encaminhamento de eventos do Windows.
Nota
O balanceamento de carga reduz os eventos por segundo que podem ser processados no espaço de trabalho.
Dados do Office
Se você precisar coletar dados do Microsoft Office, fora dos dados do conector padrão, use uma das seguintes soluções:
| Desafio / Requisito | Possíveis soluções | Considerações |
|---|---|---|
| Colete dados brutos do Teams, rastreamento de mensagens, dados de phishing e assim por diante | Use a funcionalidade interna do conector do Office 365 e crie um conector personalizado para outros dados brutos. | Mapear eventos para o ID de registro correspondente pode ser um desafio. |
| Requer RBAC para dividir países/regiões, departamentos e assim por diante | Personalize sua coleta de dados adicionando tags aos dados e criando espaços de trabalho dedicados para cada separação necessária. | A recolha de dados personalizados tem custos de ingestão adicionais. |
| Requer vários locatários em um único espaço de trabalho | Personalize sua coleção de dados usando o Azure LightHouse e uma exibição unificada de incidentes. | A recolha de dados personalizados tem custos de ingestão adicionais. Para obter mais informações, consulte Estender o Microsoft Sentinel entre espaços de trabalho e locatários. |
Dados da plataforma na nuvem
| Desafio / Requisito | Possíveis soluções | Considerações |
|---|---|---|
| Filtrar logs de outras plataformas | Usar o Logstash Usar o agente do Azure Monitor Agent / Microsoft Monitoring (Log Analytics) |
A recolha personalizada tem custos de ingestão adicionais. Você pode ter um desafio de coletar todos os eventos do Windows vs apenas eventos de segurança. |
| O agente não pode ser usado | Usar o Encaminhamento de Eventos do Windows | Pode ser necessário equilibrar a carga dos esforços entre os recursos. |
| Os servidores estão em rede air-gapped | Usar o gateway do Log Analytics | Configurar um proxy para seu agente requer regras de firewall para permitir que o Gateway funcione. |
| RBAC, marcação e enriquecimento na ingestão | Crie uma coleção personalizada por meio do Logstash ou da API do Log Analytics. | RBAC não é suportado para tabelas personalizadas O RBAC de nível de linha não é suportado para nenhuma tabela. |
Próximos passos
Para obter mais informações, consulte: