Рекомендации по сбору данных
В этом разделе приводятся рекомендации по сбору данных с помощью соединителей данных Microsoft Sentinel. Дополнительные сведения см. в статьях Соединители данных Microsoft Sentinel, Найдите нужный соединитель данных Microsoft Sentinel и Каталог центра содержимого Microsoft Sentinel .
Определение приоритета соединителей данных
Узнайте, как определить приоритет соединителей данных в рамках процесса развертывания Microsoft Sentinel.
Фильтрация журналов до приема данных
Вы можете фильтровать собираемые сообщения журналов, и даже их содержимое, до их поступления в Microsoft Sentinel. Например, можно отфильтровывать несущественные или не важные с точки зрения безопасности записи либо удалять из сообщений журнала ненужные сведения. Фильтрация содержимого сообщений также помогает снизить затраты при работе с журналами Syslog, CEF или Windows, содержащими много ненужных сведений.
Для фильтрации журналов можно воспользоваться одним из перечисленных ниже методов.
Агент Azure Monitor. Поддерживается для приема событий безопасности Windows как в Windows, так и в Linux. Чтобы отфильтровать принимаемые из журналов сообщения, настройте агент для сбора только определенных событий.
Logstash. Поддерживает фильтрацию содержимого сообщений, включая внесение изменений в сообщения журнала. См. сведения о подключении к Logstash.
Важно!
При фильтрации содержимого сообщений с помощью Logstash записи журналов принимаются как нестандартные, в результате чего все сообщения журналов бесплатного уровня становятся журналами платного уровня.
Кроме того, нестандартные журналы потребуется вручную включить в правила аналитики, охоту на угрозы и книги, так как автоматически они туда не добавляются. В настоящее время нестандартные журналы также не поддерживаются функциями машинного обучения.
Альтернативные варианты приема данных
Стандартная конфигурация сбора данных может не подходить вашей организации по ряду факторов. В таблицах ниже описаны распространенные проблемы и требования вместе с возможными решениями и рекомендациями.
Примечание.
Для многих решений, перечисленных в следующих разделах, требуется настраиваемый соединитель данных. Дополнительные сведения см. в статье Ресурсы для создания пользовательских соединителей Microsoft Sentinel.
Локальный сбор сообщений из журналов Windows
| Проблема или требование | Возможные решения | Рекомендации |
|---|---|---|
| Требуется фильтрация журналов | Использование Logstash Использование Функции Azure Использование LogicApps Используйте собственный код (.NET, Python) |
Хотя фильтрация может привести к экономии затрат и прием только необходимых данных, некоторые функции Microsoft Sentinel не поддерживаются, такие как UEBA, страницы сущностей, машинное обучение и слияние. При настройке фильтрации журналов внесите обновления в ресурсы, такие как запросы на поиск угроз и правила аналитики |
| Не удается установить агент | Используйте пересылку событий Windows с помощью агента Azure Monitor | Пересылка событий Windows уменьшает число событий балансировки нагрузки от сборщика событий Windows с 10 000 событий в секунду до 500–1000 событий. |
| Серверы не подключаются к Интернету | Используйте шлюз Log Analytics | При настройке прокси для агента шлюзу требуются дополнительные правила брандмауэра. |
| Требуется добавлять теги и обогащать принимаемые данные | Использование Logstash для внедрения ResourceID Использование шаблона ARM для внедрения ResourceID в локальные компьютеры Настройте прием идентификатора ресурса в отдельные рабочие области |
Log Analytics не поддерживает RBAC для пользовательских таблиц Microsoft Sentinel не поддерживает RBAC уровня строк Совет. Вы можете развернуть для Microsoft Sentinel конфигурацию и функции с несколькими рабочими областями. |
| Требуется разделять журналы операций и безопасности | Используйте функции нескольких домашних узлов Microsoft Monitoring Agent или агента Azure Monitor | При использовании нескольких домашних узлов необходимо дополнительно развертывать агент. |
| Требуется собирать определенные сообщения журналов | Сбор файлов из определенных путей к папкам Использование приема API Использование PowerShell Используйте Logstash |
У вас могут возникнуть проблемы с фильтрацией журналов. Пользовательские методы не поддерживаются. Для использования настраиваемых соединителей могут потребоваться определенные навыки разработки. |
Локальный сбор сообщений из журналов Linux
| Проблема или требование | Возможные решения | Рекомендации |
|---|---|---|
| Требуется фильтрация журналов | Использование Syslog-NG Использование Rsyslog Использование конфигурации FluentD для агента Использование агента Azure Monitor или Агента Microsoft Monitoring Agent Используйте Logstash |
Некоторые дистрибутивы Linux могут не поддерживаться агентом. Для использования syslog или FluentD потребуются навыки разработки. Дополнительные сведения см. в разделе События безопасности Windows, использующие AMA и в статье Ресурсы для создания пользовательских соединителей Microsoft Sentinel. |
| Не удается установить агент | Используйте сервер пересылки Syslog, например syslog-ng или rsyslog. | |
| Серверы не подключаются к Интернету | Используйте шлюз Log Analytics | При настройке прокси для агента шлюзу требуются дополнительные правила брандмауэра. |
| Требуется добавлять теги и обогащать принимаемые данные | Используйте Logstash для обогащения или пользовательских методов, таких как API или Центры событий. | Для фильтрации могут потребоваться дополнительные действия. |
| Требуется разделять журналы операций и безопасности | Используйте агент Azure Monitor в конфигурации с несколькими домашними узлами. | |
| Требуется собирать определенные сообщения журналов | Создайте настраиваемый сборщик с помощью агента Microsoft Monitoring Agent (Log Analytics). |
Решения для конечных точек
Если вам необходимо собирать сообщения журналов из решений для конечных точек, таких как EDR, другие события безопасности, данные Sysmon и т. д., используйте один из описанных ниже методов.
- Соединитель XDR в Microsoft Defender для сбора журналов из Microsoft Defender для конечной точки. В этой конфигурации прием данных связан с дополнительными затратами.
- Пересылка событий Windows.
Примечание.
Балансировка нагрузки уменьшает число событий в секунду, которые могут быть обработаны в рабочей области.
Данные Office
Если вам требуется собирать данные Microsoft Office помимо информации, получаемой через обычные соединители, используйте одно из перечисленных ниже решений.
| Проблема или требование | Возможные решения | Рекомендации |
|---|---|---|
| Сбор необработанных данных из Teams, данных трассировки сообщений, фишинговых данных и т. д. | Используйте встроенные функции соединителя Office 365, а для других видов необработанных данных создайте нестандартный соединитель. | Сопоставление событий с соответствующими идентификаторами recordID может оказаться непростой задачей. |
| Требуется RBAC для разделения стран и регионов, отделов и т. д. | Настройте добавление тегов к собираемым данным и создайте отдельные рабочие области для каждого раздела. | Настраиваемый сбор данных требует дополнительных затрат на прием. |
| Требуется использовать несколько арендаторов в одной рабочей области | Настройте сбор данных с помощью Azure Lighthouse и единым представлением инцидентов. | Настраиваемый сбор данных требует дополнительных затрат на прием. См. статью Расширение Microsoft Sentinel между рабочими областями и арендаторами. |
Данные облачной платформы
| Проблема или требование | Возможные решения | Рекомендации |
|---|---|---|
| Фильтрация сообщений из журналов других платформ | Использование Logstash Используйте агент Azure Monitor или агент Microsoft Monitoring Agent (Log Analytics) |
Настраиваемый сбор данных требует дополнительных затрат на прием. Вам может потребоваться разделить сбор всех событий Windows и только событий безопасности. |
| Использовать агент невозможно | Используйте пересылку событий Windows | Вы можете сбалансировать нагрузку по ресурсам. |
| Серверы находятся в сети, отключенной от Интернета | Используйте шлюз Log Analytics | При настройке прокси для агента шлюзу требуются правила брандмауэра. |
| RBAC, добавление тегов и обогащение на этапе приемах данных | Настройте сбор данных с помощью Logstash или API Log Analytics. | RBAC не поддерживается для пользовательских таблиц RBAC уровня строк не поддерживается для таблиц. |
Дальнейшие действия
Дополнительные сведения см. в разделе: