Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I det här avsnittet beskrivs metodtips för att samla in data med hjälp av Microsoft Sentinel dataanslutningsprogram. Mer information finns i Ansluta datakällor, referens för Microsoft Sentinel dataanslutningsprogram och katalogen för Microsoft Sentinel-lösningar.
Prioritera dina dataanslutningar
Lär dig hur du prioriterar dina dataanslutningar som en del av Microsoft Sentinel distributionsprocessen.
Filtrera dina loggar före inmatning
Du kanske vill filtrera de insamlade loggarna eller till och med logga innehåll innan data matas in i Microsoft Sentinel. Du kanske till exempel vill filtrera bort loggar som är irrelevanta eller oviktiga för säkerhetsåtgärder, eller så kanske du vill ta bort oönskad information från loggmeddelanden. Att filtrera meddelandeinnehåll kan också vara användbart när du försöker sänka kostnaderna när du arbetar med Syslog-, CEF- eller Windows-baserade loggar som har många irrelevanta detaljer.
Filtrera loggarna med någon av följande metoder:
Azure Monitor-agenten. Stöds på både Windows och Linux för att mata in Windows-säkerhetshändelser. Filtrera loggarna som samlas in genom att konfigurera agenten så att den endast samlar in angivna händelser.
Logstash. Stöder filtrering av meddelandeinnehåll, inklusive att göra ändringar i loggmeddelanden. Mer information finns i Ansluta med Logstash.
Viktigt
Om du använder Logstash för att filtrera meddelandeinnehållet matas loggarna in som anpassade loggar, vilket gör att alla loggar på den kostnadsfria nivån blir loggar på den betalda nivån.
Anpassade loggar måste också arbetas in i analysregler, hotjakt och arbetsböcker, eftersom de inte läggs till automatiskt. Anpassade loggar stöds inte heller för närvarande för Machine Learning-funktioner .
Krav för alternativ datainmatning
Standardkonfigurationen för datainsamling kanske inte fungerar bra för din organisation på grund av olika utmaningar. I följande tabeller beskrivs vanliga utmaningar eller krav samt möjliga lösningar och överväganden.
Obs!
Många lösningar som anges i följande avsnitt kräver en anpassad dataanslutning. Mer information finns i Resurser för att skapa Microsoft Sentinel anpassade anslutningsappar.
Lokal Windows-loggsamling
| Utmaning/krav | Möjliga lösningar | Överväganden |
|---|---|---|
| Kräver loggfiltrering | Använda Logstash Använd Azure Functions Använda LogicApps Använda anpassad kod (.NET, Python) |
Filtrering kan leda till kostnadsbesparingar och mata in endast nödvändiga data, men vissa Microsoft Sentinel funktioner stöds inte, till exempel UEBA, entitetssidor, maskininlärning och fusion. När du konfigurerar loggfiltrering gör du uppdateringar i resurser som frågor om hotjakt och analysregler. |
| Agenten kan inte installeras | Använd Vidarebefordran av Windows-händelser, som stöds med Azure Monitor-agenten | Med vidarebefordran av Windows-händelser sänks belastningsutjämningshändelser per sekund från Windows Event Collector, från 10 000 händelser till 500–1 000 händelser. |
| Servrar ansluter inte till Internet | Använda Log Analytics-gatewayen | Att konfigurera en proxy till din agent kräver extra brandväggsregler för att gatewayen ska fungera. |
| Kräver taggning och berikning vid inmatning | Använda Logstash för att mata in ett ResourceID Använd en ARM-mall för att mata in ResourceID i lokala datorer Mata in resurs-ID:t i separata arbetsytor |
Log Analytics stöder inte rollbaserad åtkomstkontroll (RBAC) för anpassade tabeller. Microsoft Sentinel stöder inte RBAC på radnivå. Tips: Du kanske vill använda design och funktioner för flera arbetsytor för Microsoft Sentinel. |
| Kräver delningsåtgärd och säkerhetsloggar | Använda Microsoft Monitor-agenten eller Azure monitoragentens funktioner för flera hem | Funktioner för flera hem kräver mer distributionskostnader för agenten. |
| Kräver anpassade loggar | Samla in filer från specifika mappsökvägar Använda API-inmatning Använda PowerShell Använda Logstash |
Du kan ha problem med att filtrera loggarna. Anpassade metoder stöds inte. Anpassade anslutningsappar kan kräva utvecklarkunskaper. |
Lokal Linux loggsamling
| Utmaning/krav | Möjliga lösningar | Överväganden |
|---|---|---|
| Kräver loggfiltrering | Använda Syslog-NG Använda Rsyslog Använda FluentD-konfiguration för agenten Använda Azure Monitor Agent/Microsoft Monitoring Agent Använda Logstash |
Vissa Linux distributioner kanske inte stöds av agenten. Att använda Syslog eller FluentD kräver utvecklarkunskaper. Mer information finns i Ansluta till Windows-servrar för att samla in säkerhetshändelser och resurser för att skapa Microsoft Sentinel anpassade anslutningsappar. |
| Agenten kan inte installeras | Använd en Syslog-vidarebefordrare, till exempel (syslog-ng eller rsyslog. | |
| Servrar ansluter inte till Internet | Använda Log Analytics-gatewayen | Att konfigurera en proxy till din agent kräver extra brandväggsregler för att gatewayen ska fungera. |
| Kräver taggning och berikning vid inmatning | Använd Logstash för berikning eller anpassade metoder, till exempel API eller Event Hubs. | Det kan krävas extra arbete för filtrering. |
| Kräver delningsåtgärd och säkerhetsloggar | Använd Azure Monitor-agenten med konfigurationen för flera värdar. | |
| Kräver anpassade loggar | Skapa en anpassad insamlare med hjälp av Microsoft Monitoring-agenten (Log Analytics). |
Slutpunktslösningar
Om du behöver samla in loggar från slutpunktslösningar, till exempel EDR, andra säkerhetshändelser, Sysmon och så vidare, använder du någon av följande metoder:
- Microsoft Defender XDR för att samla in loggar från Microsoft Defender för Endpoint. Det här alternativet medför extra kostnader för datainmatningen.
- Vidarebefordran av Windows-händelser.
Obs!
Belastningsutjämning minskar antalet händelser per sekund som kan bearbetas till arbetsytan.
Office-data
Om du behöver samla in Microsoft Office-data, utanför standardanslutningsdata, använder du någon av följande lösningar:
| Utmaning/krav | Möjliga lösningar | Överväganden |
|---|---|---|
| Samla in rådata från Teams, meddelandespårning, nätfiskedata och så vidare | Använd den inbyggda Office 365-anslutningsappen och skapa sedan en anpassad anslutningsapp för andra rådata. | Det kan vara svårt att mappa händelser till motsvarande recordID. |
| Kräver RBAC för att dela upp länder/regioner, avdelningar och så vidare | Anpassa din datainsamling genom att lägga till taggar i data och skapa dedikerade arbetsytor för varje separation som behövs. | Anpassad datainsamling har extra inmatningskostnader. |
| Kräver flera klientorganisationer i en enda arbetsyta | Anpassa din datainsamling med hjälp av Azure LightHouse och en enhetlig incidentvy. | Anpassad datainsamling har extra inmatningskostnader. Mer information finns i Utöka Microsoft Sentinel mellan arbetsytor och klientorganisationer. |
Molnplattformsdata
| Utmaning/krav | Möjliga lösningar | Överväganden |
|---|---|---|
| Filtrera loggar från andra plattformar | Använda Logstash Använda agenten Azure Monitor Agent/Microsoft Monitoring (Log Analytics) |
Anpassad samling har extra inmatningskostnader. Du kan ha en utmaning att samla in alla Windows-händelser jämfört med endast säkerhetshändelser. |
| Agenten kan inte användas | Använda vidarebefordran av Windows-händelser | Du kan behöva belastningsutjämning för dina resurser. |
| Servrarna är i ett luftgapat nätverk | Använda Log Analytics-gatewayen | För att konfigurera en proxy till din agent krävs brandväggsregler för att gatewayen ska fungera. |
| RBAC, taggning och berikning vid inmatning | Skapa anpassad samling via Logstash eller Log Analytics-API:et. | RBAC stöds inte för anpassade tabeller RBAC på radnivå stöds inte för några tabeller. |
Relaterat innehåll
Mer information finns i: