資料收集最佳做法
本節將檢閱使用 Microsoft Sentinel 資料連接器收集資料的最佳做法。 如需詳細資訊,請參閱連接資料來源、Microsoft Sentinel 資料連接器參考和 Microsoft Sentinel 解決方案目錄。
設定資料連接器的優先順序
了解如何在 Microsoft Sentinel 部署過程中排定資料連接器的優先順序。
擷取之前先篩選記錄
您可能想要先篩選收集的記錄,或甚至是記錄內容,再將資料擷取到 Microsoft Sentinel 中。 例如,您可能想要篩選出對安全性作業無關或不重要的記錄,或者您可能想要從記錄訊息中移除不想要的詳細資料。 若使用具有許多不相關詳細資料的 Syslog、CEF 或 Windows 記錄,篩選訊息內容對於嘗試降低成本可能也很有幫助。
使用下列其中一種方法來篩選您的記錄:
Azure 監視器代理程式。 Windows 和 Linux 上都支援擷取 Windows 安全性事件。 設定代理程式只收集指定的事件,以篩選所收集的記錄。
Logstash. 支援篩選訊息內容,包括對記錄訊息進行變更。 如需詳細資訊,請參閱與 Logstash 連線。
重要
使用 Logstash 篩選訊息內容會導致將記錄當做自訂記錄來擷取,使得任何免費層記錄變成付費層記錄。
自訂記錄也需要加入分析規則、威脅搜捕和活頁簿,因為這些項目不會自動新增。 Machine Learning 功能目前也不支援自訂記錄。
替代資料擷取需求
資料收集的標準設定可能會由於各項挑戰而不適用於您的組織。 下表描述常見的挑戰或需求,以及可能的解決方案和考量。
注意
下列章節中列出的許多解決方案都需要自訂資料連接器。 如需詳細資訊,請參閱建立 Microsoft Sentinel 自訂連接器的資源。
內部部署 Windows 記錄收集
挑戰/需求 | 可能的解決方案 | 考量 |
---|---|---|
需要記錄篩選 | 使用 Logstash 使用 Azure Functions 使用 LogicApps 使用自訂程式碼 (.NET、Python) |
雖然篩選可能會導致節省成本並只擷取必要的資料,但不支援某些 Microsoft Sentinel 功能,例如 UEBA、實體頁面、機器學習和融合。 設定記錄篩選時,請在資源中進行更新,例如威脅搜捕查詢和分析規則 |
無法安裝代理程式 | 使用 Azure 監視器代理程式支援的 Windows 事件轉送 | 使用 Windows 事件轉送可將 Windows 事件收集器每秒的負載平衡事件,從 10,000 個事件降低為 500-1000 個事件。 |
伺服器無法連線到網際網路 | 使用 Log Analytics 閘道 | 設定代理程式的 Proxy 需要額外的防火牆規則,以允許閘道運作。 |
擷取時需要標記和擴充 | 使用 Logstash 插入 ResourceID 使用 ARM 範本將 ResourceID 插入內部部署電腦 將資源識別碼擷取到不同的工作區中 |
Log Analytics 不支援自訂資料表的 RBAC Microsoft Sentinel 不支援資料列層級 RBAC 提示:您可能想要針對 Microsoft Sentinel 採用跨工作區設計和功能。 |
需要分割作業和安全性記錄檔 | 使用 Microsoft Monitoring Agent 或 Azure 監視器代理程式多重主目錄功能 | 多重主目錄功能需要代理程式的更多部署額外負荷。 |
需要自訂記錄 | 從特定資料夾路徑收集檔案 使用 API 擷取 使用 PowerShell 使用 Logstash |
您可能會在篩選記錄時發生問題。 不支援自訂方法。 自訂連接器可能需要開發人員技能。 |
內部部署 Linux 記錄收集
挑戰/需求 | 可能的解決方案 | 考量 |
---|---|---|
需要記錄篩選 | 使用 Syslog-NG 使用 Rsyslog 針對代理程式使用 FluentD 設定 使用 Azure 監視器代理程式/Microsoft Monitoring Agent 使用 Logstash |
代理程式可能不支援某些 Linux 發行版本。 使用 Syslog 或 FluentD 需要開發人員知識。 如需詳細資訊,請參閱連線到 Windows 伺服器以收集安全性事件和用於建立 Microsoft Sentinel 自訂連接器的資源。 |
無法安裝代理程式 | 使用 Syslog 轉寄站,例如 syslog-ng 或 rsyslog。 | |
伺服器無法連線到網際網路 | 使用 Log Analytics 閘道 | 設定代理程式的 Proxy 需要額外的防火牆規則,以允許閘道運作。 |
擷取時需要標記和擴充 | 使用 Logstash 進行擴充,或是自訂方法 (例如 API 或事件中樞)。 | 您可能需要額外的工作進行篩選。 |
需要分割作業和安全性記錄檔 | 使用具有多路連接設定的 Azure 監視器代理程式。 | |
需要自訂記錄 | 使用 Microsoft Monitoring Agent (Log Analytics 代理程式) 建立自訂收集器。 |
端點解決方案
如果您需要從端點解決方案收集記錄 (例如 EDR、其他安全性事件、Sysmon 等),請使用下列其中一種方法:
- Microsoft Defender 全面偵測回應連接器,可從適用於端點的 Microsoft Defender 收集記錄。 此選項會產生額外的資料擷取成本。
- Windows 事件轉送。
注意
負載平衡會減少每秒可處理至工作區的事件數目。
Office 資料
如果除了標準連接器資料,還需要收集 Microsoft Office 資料,請使用下列其中一個解決方案:
挑戰/需求 | 可能的解決方案 | 考量 |
---|---|---|
從 Teams、郵件追蹤、網路釣魚資料等收集未經處理資料 | 使用內建 Office 365 連接器功能,然後為其他未經處理資料建立自訂連接器。 | 將事件對應至對應的 recordID 可能是項挑戰。 |
需要 RBAC 以分割國家/地區、部門等 | 將標籤新增至資料,並針對每個所需的分隔建立專用工作區,以自訂資料收集。 | 自訂資料收集有額外的擷取成本。 |
在單一工作區中需要多個租用戶 | 使用 Azure Lighthouse 和整合事件檢視來自訂資料收集。 | 自訂資料收集有額外的擷取成本。 如需詳細資訊,請參閱跨工作區和租用戶擴充 Microsoft Sentinel。 |
雲端平台資料
挑戰/需求 | 可能的解決方案 | 考量 |
---|---|---|
篩選來自其他平台的記錄 | 使用 Logstash 使用 Azure 監視器代理程式/Microsoft Monitoring Agent (Log Analytics 代理程式) |
自訂收集有額外的擷取成本。 相較於只收集安全性事件,收集所有 Windows 事件可能會為您帶來挑戰。 |
無法使用代理程式 | 使用 Windows 事件轉送 | 您可能需要在資源之間進行負載平衡。 |
伺服器位於實體隔離斷網網路 | 使用 Log Analytics 閘道 | 設定代理程式的 Proxy 需要防火牆規則,以允許閘道運作。 |
擷取時的 RBAC、標記和擴充 | 建立透過 Logstash 或 Log Analytics API 的自訂收集。 | 自訂資料表不支援 RBAC 任何資料表都不支援資料列層級 RBAC。 |
下一步
如需詳細資訊,請參閱