Osvědčené postupy pro shromažďování dat
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Tato část popisuje osvědčené postupy pro shromažďování dat pomocí datových konektorů Microsoft Sentinelu. Další informace najdete v tématu Připojenízdrojů dat, v referenčních informacích k datovým konektorům Microsoft Sentinelua v katalogu řešení Microsoft Sentinelu.
Určení priority datových konektorů
Pokud vám není jasné, které datové konektory budou nejlépe sloužit vašemu prostředí, začněte povolením všech bezplatných datových konektorů.
Bezplatné datové konektory začnou zobrazovat hodnotu služby Microsoft Sentinel co nejdříve, zatímco vy budete pokračovat v plánování dalších datových konektorů a rozpočtů.
U partnerských a vlastních datových konektorů začněte nastavením konektorů Syslog a CEF s nejvyšší prioritou a také všech zařízení založených na Linuxu.
Pokud je příjem dat příliš nákladný, příliš rychlý, zastavte nebo filtrujte protokoly předáované pomocí Azure Monitor Agent.
Tip
Vlastní datové konektory umožňují ingestovat data do Microsoft Sentinelu ze zdrojů dat, které integrované funkce v současné době nepodporují, například prostřednictvím agenta, Logstash nebo rozhraní API. Další informace najdete v tématu Zdroje informací o vytváření vlastních konektorů Microsoft Sentinelu.
Filtrování protokolů před chytřením
Před ingestací dat do Microsoft Sentinelu můžete chtít filtrovat shromažďované protokoly nebo dokonce obsah protokolu. Můžete například odfiltrovat protokoly, které jsou irelevantní nebo nedůležité pro operace zabezpečení, nebo můžete chtít ze zpráv protokolu odebrat nežádoucí podrobnosti. Filtrování obsahu zpráv může být užitečné také při pokusu o snížení nákladů při práci se syslogem, CEF nebo Windows protokoly, které mají mnoho irelevantních podrobností.
Protokoly můžete filtrovat pomocí jedné z následujících metod:
Agent Azure Monitor . Podporováno v Windows i Linuxu pro ingestování Windows událostí zabezpečení. Vyfiltrujte protokoly shromážděné konfigurací agenta tak, aby shromažďoval pouze zadané události.
Logstash. Podporuje filtrování obsahu zpráv, včetně provádění změn zpráv protokolu. Další informace najdete v tématu Připojení s logstash.
Důležité
Použití Logstash k filtrování obsahu zpráv způsobí, že se protokoly ingestují jako vlastní protokoly, což způsobí, že se z protokolů úrovně Free stanou placené protokoly.
Vlastní protokoly je také potřeba řešit doanalytických pravidel,proaktivního proaktivního hledání hrozeb a sešitů, protože se nepřidávají automaticky. Vlastní protokoly se také v současné době nepodporují Machine Learning funkcí.
Požadavky na alternativní příjem dat
Standardní konfigurace shromažďování dat nemusí kvůli různým výzvám pro vaši organizaci dobře fungovat. Následující tabulky popisují běžné problémy nebo požadavky a možná řešení a důležité informace.
Poznámka
Řada níže uvedených řešení vyžaduje vlastní datový konektor. Další informace najdete v tématu Zdroje informací o vytváření vlastních konektorů Microsoft Sentinelu.
Shromažďování protokolů místních Windows protokolů
| Výzva nebo požadavek | Možná řešení | Požadavky |
|---|---|---|
| Vyžaduje filtrování protokolů. | Použití Logstash Použití Azure Functions Použití LogicApps Použití vlastního kódu (.NET, Python) |
I když filtrování může vést k úsporám nákladů a ingestuje jenom požadovaná data, některé funkce Microsoft Sentinelu se nepodporují, například UEBA, stránkyentit, strojovéučení a fúze. Při konfiguraci filtrování protokolů budete muset provádět aktualizace prostředků, jako jsou dotazy proaktivní vyhledávání hrozeb a analytická pravidla. |
| Agenta není možné nainstalovat. | Použití Windows událostí podporovaného agentem Azure Monitor | Při Windows předávání událostí se sníží zatížení událostí vyrovnávání zatížení za sekundu z kolekce událostí Windows, a to z 10 000 událostí na 500 až 1 000 událostí. |
| Servery se nepřipojují k internetu | Použití brány Log Analytics | Konfigurace proxy serveru pro vašeho agenta vyžaduje další pravidla brány firewall, která umožní bránu fungovat. |
| Vyžaduje označování a rozšiřování při příjmu dat. | Použití Logstash k vložení ResourceID Použití šablony ARM k vložení ResourceID do místních počítačů Ingestování ID prostředku do samostatných pracovních prostorů |
Log Analytics nepodporuje RBAC pro vlastní tabulky Microsoft Sentinel nepodporuje řízení přístupu na úrovni řádků. Tip: Možná budete chtít přijmout návrh a funkce pro Microsoft Sentinel napříč pracovními prostory. |
| Vyžaduje rozdělení operací a protokolů zabezpečení. | Použití vícedomé funkce agenta Microsoft Monitor nebo Azure Monitor Agent | Vícedomé funkce vyžadují pro agenta větší režii při nasazování. |
| Vyžaduje vlastní protokoly. | Shromažďování souborů z konkrétních cest ke složce Použití rozhraní API pro příjem dat Použití prostředí PowerShell Použití Logstash |
Možná máte problémy s filtrováním protokolů. Vlastní metody se nepodporují. Vlastní konektory mohou vyžadovat vývojářské dovednosti. |
Místní shromažďování linuxových protokolů
| Výzva nebo požadavek | Možná řešení | Požadavky |
|---|---|---|
| Vyžaduje filtrování protokolů. | Použití Syslog-NG Použití rsyslogu Použití konfigurace FluentD pro agenta Použití Azure Monitor agenta nebo Microsoft Monitoring Agent Použití Logstash |
Agent nemusí podporovat některé linuxové distribuce. Použití Syslogu nebo FluentD vyžaduje znalosti vývojářů. Další informace najdete v tématu Připojení Windows shromažďování událostí zabezpečení a prostředků pro vytváření vlastních konektorů Microsoft Sentinelu. |
| Agenta není možné nainstalovat. | Použijte nástroj pro předávání Syslog, například (syslog-ng nebo rsyslog. | |
| Servery se nepřipojují k internetu | Použití brány Log Analytics | Konfigurace proxy serveru pro vašeho agenta vyžaduje další pravidla brány firewall, která umožní bránu fungovat. |
| Vyžaduje označování a rozšiřování při příjmu dat. | K rozšíření nebo k vlastním metodám, jako jsou rozhraní API nebo EventHubs, použijte Logstash. | Filtrování může požadováno dodatečným úsilím. |
| Vyžaduje rozdělení operací a protokolů zabezpečení. | Použijte Azure Monitor Agent s konfigurací vícenásobné naválování. | |
| Vyžaduje vlastní protokoly. | Vytvořte vlastní kolektor pomocí agenta Microsoft Monitoring (Log Analytics). | |
Řešení pro koncové body
Pokud potřebujete shromažďovat protokoly z řešení koncových bodů, jako jsou EDR, jiné události zabezpečení, nástroj Sysmon a tak dále, použijte jednu z následujících metod:
- Konektor MTP pro shromažďování protokolů z Microsoft 365 Defender pro koncový bod. Tato možnost má za příjem dat další náklady.
- Windows předávání událostí .
Poznámka
Vyrovnávání zatížení ořízne události za sekundu, které je možné zpracovat do pracovního prostoru.
Office dat
Pokud potřebujete shromažďovat Microsoft Office dat mimo standardní data konektoru, použijte jedno z následujících řešení:
| Výzva nebo požadavek | Možná řešení | Požadavky |
|---|---|---|
| Shromažďování nezpracovaných dat Teams, trasování zpráv, dat phishingu a tak dále | Použijte integrovanou funkci Office 365 konektoru a pak vytvořte vlastní konektor pro další nezpracovaná data. | Mapování událostí na odpovídající ID záznamu může být náročné. |
| Vyžaduje RBAC pro rozdělování zemí, oddělení a tak dále. | Přizpůsobte shromažďování dat přidáním značek k datům a vytvořením vyhrazených pracovních prostorů pro každé potřebné oddělení. | Vlastní shromažďování dat má další náklady na příjem dat. |
| Vyžaduje více tenantů v jednom pracovním prostoru. | Přizpůsobte shromažďování dat pomocí Azure LightHouse a jednotného zobrazení incidentů. | Vlastní shromažďování dat má další náklady na příjem dat. Další informace najdete v tématu Rozšíření Microsoft Sentinelu mezi pracovní prostory a tenanty. |
Data cloudové platformy
| Výzva nebo požadavek | Možná řešení | Požadavky |
|---|---|---|
| Filtrování protokolů z jiných platforem | Použití Logstash Použití agenta Azure Monitor Agent / Microsoft Monitoring (Log Analytics) |
Vlastní kolekce má další náklady na příjem dat. Můžete mít problém se shromažďováním všech událostí Windows vs. pouze událostí zabezpečení. |
| Agenta není možné použít. | Použití Windows událostí | Možná budete muset vyvážit zatížení mezi vašimi prostředky. |
| Servery jsou v síti s řídknutým vzduchem | Použití brány Log Analytics | Konfigurace proxy serveru pro vašeho agenta vyžaduje pravidla brány firewall, která povolují, aby brána fungovala. |
| RBAC, označování a rozšiřování při příjmu dat | Vytvořte vlastní kolekci přes Logstash nebo rozhraní API Log Analytics. | RBAC se u vlastních tabulek nepodporuje. Řízení přístupu na úrovni řádků se nepodporuje pro žádné tabulky. |
Další kroky
Další informace naleznete v tématu: