Zvažte metody připojení k datům.

  • 10 min

Pokud chcete nasadit prostředí pro testování konceptu, musíte také pochopit, jak se připojení, která používají agenty, liší od integrovaných konektorů.

Připojení k různým zdrojům pomocí agentů Syslogu nebo CEF

Připojení Microsoft Sentinelu k libovolnému zdroji dat, který může provádět streamování protokolů v reálném čase pomocí agenta a protokolu Syslog.

Většina zařízení používá protokol Syslog k odesílání zpráv událostí, které obsahují protokol a data protokolu. Formát protokolu se liší, ale většina zařízení podporuje formát založený na CEF pro data protokolů.

Výhodou CEF oproti Syslogu je, že zajišťuje normalizaci dat. Díky tomu je užitečnější pro analýzu pomocí služby Sentinel. Na rozdíl od mnoha dalších produktů pro správu událostí a informací o zabezpečení dokáže Sentinel ingestovat neparsované události Syslogu a provádět analýzy pomocí analýzy času dotazu.

Agent Microsoft Sentinel převádí protokoly ve formátu CEF do formátu, který může Log Analytics ingestovat. V závislosti na typu zařízení se agent nainstaluje přímo na zařízení nebo do vyhrazeného nástroje pro předávání protokolů založeného na Linuxu. Agent Microsoft Sentinelu je ve skutečnosti agentEm Log Analytics služby Azure Monitor.

Agent pro Linux přijímá události z démona Syslog přes protokol UDP (User Datagram Protocol), pokud neočekáváte, že počítač s Linuxem bude shromažďovat velký objem událostí Syslogu. V takovém případě se odesílají přes protokol TCP (Transmission Control Protocol) z démona Syslogu do agenta. Agent pak odešle data do Log Analytics. Agent ukládá data do mezipaměti, což pomáhá zabránit ztrátě dat v případě problémů s komunikací mezi agentem a cloudem.

Agent Log Analytics může shromažďovat různé typy událostí ze serverů a koncových bodů. Po povolení prostřednictvím datových konektorů Microsoft Sentinelu se události shromažďují každým agentem, který je nakonfigurovaný tak, aby odesílal data do pracovního prostoru.

Podpora připojení prostřednictvím agenta zahrnuje tato zařízení a řešení:

  • Řešení ochrany před únikem informací
  • Poskytovatelé analýzy hrozeb
  • Služby DNS (Domain Name System)
  • Protokoly MBAM/BitLockeru
  • Internet Information Services
  • Servery s Linuxem
  • Microsoft Endpoint Configuration Manager
  • Microsoft SQL Server
  • System Monitor (Sysmon)
  • Další poskytovatelé cloudu

Brány firewall, internetové proxy servery a koncové body

  • Vectra Cognito
  • Check Point
  • Cisco ASA
  • ExtraHop Reveal(x)
  • F5 ASM
  • Produkty Forcepoint
  • Fortinet
  • Palo Alto Networks
  • One Identity Safeguard
  • Další zařízení CEF
  • Další zařízení Syslog
  • Trend Micro Deep Security
  • Zscaler

Možnosti připojení externího zařízení

Pokud chcete připojit externí zařízení k Microsoft Sentinelu, musí agent nasadit na vyhrazený virtuální počítač Azure nebo místní systém, aby podporoval komunikaci mezi zařízením a Microsoft Sentinelem. Agenta můžete nasadit automaticky nebo ručně. Automatické nasazení je dostupné jenom v případě, že je váš vyhrazený počítač novým virtuálním počítačem, který vytvoříte v Azure.

Následující diagram znázorňuje místní systémy, které odesílají data Syslogu na vyhrazený virtuální počítač Azure s agentem Microsoft Sentinelu.

Diagram of the data flow between on-premises systems that use automatic deployment of the Syslog agent.

Případně můžete agenta ručně nasadit na existující virtuální počítač Azure, na virtuální počítač v jiném cloudu nebo na místním počítači. Následující diagram znázorňuje místní systémy, které odesílají data Syslogu do vyhrazeného místního systému, na kterém běží agent Microsoft Sentinelu.

Diagram of the data flow between on-premises systems that use manual deployment of the Syslog agent.

Bezpečnostní aspekty

Ujistěte se, že nakonfigurujete zabezpečení systému podle zásad zabezpečení vaší organizace. Pokud chcete síť nakonfigurovat tak, aby odpovídala zásadám zabezpečení podnikové sítě, změňte porty a protokoly v démonu tak, aby odpovídaly vašim požadavkům.

Mezi služby a funkce zabezpečení Azure, které pomáhají zabezpečit vaše virtuální počítače a data úložiště, patří:

  • Antimalware: Microsoft Antimalware pro Azure Cloud Services a Virtual Machines poskytuje bezplatnou ochranu v reálném čase, kterou můžete použít k identifikaci a odstranění virů, spywaru a dalšího škodlivého softwaru.

  • Microsoft Defender for Cloud: Defender for Cloud pomáhá předcházet hrozbám virtuálním počítačům, zjišťovat je a reagovat na ně.

  • Šifrování: Azure Disk Encryption poskytuje šifrování na úrovni operačního systému a šifrování na straně serveru probíhá na úrovni platformy.

  • Azure Key Vault a klíče SSH: Azure Key Vault je služba, která poskytuje centralizovanou správu tajných kódů s plnou kontrolou nad zásadami přístupu a historií auditu.

  • Spravované identity pro prostředky Azure: Spravované identity pro prostředky Azure poskytují službám Azure automaticky spravovanou identitu v Microsoft Entra ID.

  • Zásady: Zásady umožňují organizaci vynucovat různé konvence a pravidla v celém podniku.

  • RBAC: Azure RBAC umožňuje oddělit povinnosti v rámci vašeho týmu. Přístup k virtuálnímu počítači můžete také omezit na uživatele, kteří ho potřebují k práci.