Bewährte Methoden für die Datensammlung
In diesem Abschnitt werden bewährte Methoden zum Sammeln von Daten mithilfe von Microsoft Sentinel-Daten-Connectors erläutert. Weitere Informationen finden Sie unter Verbinden von Datenquellen, im Verweis auf Microsoft Sentinel-Daten-Connectors sowie im Microsoft Sentinel-Lösungskatalog.
Priorisieren Ihrer Datenconnectors
Erfahren Sie, wie Sie im Rahmen des Microsoft Sentinel-Bereitstellungsprozesses Ihre Datenconnectors priorisieren.
Filtern von Protokollen vor der Erfassung
Möglicherweise möchten Sie die gesammelten Protokolle oder sogar den Protokollinhalt filtern, bevor die Daten in Microsoft Sentinel erfasst werden. Beispielsweise können Sie Protokolle herausfiltern, die für Sicherheitsvorgänge irrelevant oder unwichtig sind, oder unerwünschte Details aus Protokollmeldungen entfernen. Das Filtern von Nachrichteninhalten kann auch hilfreich sein, wenn Sie versuchen, die Kosten bei der Arbeit mit Syslog, CEF oder Windows-basierten Protokollen zu senken, die viele irrelevante Details enthalten.
Filtern Sie Ihre Protokolle mit einer der folgenden Methoden:
Azure Monitor-Agent. Wird sowohl unter Windows als auch unter Linux unterstützt, um Windows Sicherheitsereignisse zu erfassen. Filtern Sie die gesammelten Protokolle, indem Sie den Agent so konfigurieren, dass nur angegebene Ereignisse erfasst werden.
Logstash. Unterstützt das Filtern von Nachrichteninhalten, einschließlich Änderungen an den Protokollmeldungen. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Logstash.
Wichtig
Die Verwendung von Logstash zum Filtern Ihres Nachrichteninhalts führt dazu, dass Ihre Protokolle als benutzerdefinierte Protokolle erfasst werden, sodass Protokolle im Free-Tarif zu Protokollen eines kostenpflichtigen Tarifs werden.
Benutzerdefinierte Protokolle müssen auch in Analyseregeln, Bedrohungssuche und Arbeitsmappen eingearbeitet werden, da sie nicht automatisch hinzugefügt werden. Benutzerdefinierte Protokolle werden derzeit auch nicht für Funktionen des maschinellen Lernens unterstützt.
Alternative Datenerfassungsanforderungen
Die Standardkonfiguration für die Datensammlung funktioniert aufgrund verschiedener Herausforderungen möglicherweise nicht gut für Ihre Organisation. In den folgenden Tabellen werden allgemeine Herausforderungen oder Anforderungen sowie mögliche Lösungen und Überlegungen beschrieben.
Hinweis
Viele Lösungen, die in den folgenden Abschnitten aufgeführt sind, erfordern einen benutzerdefinierten Datenconnector. Weitere Informationen finden Sie unter Ressourcen zum Erstellen benutzerdefinierter Microsoft Sentinel-Connectors.
Lokale Windows-Protokollsammlung
| Herausforderung/Anforderung | Lösungsvorschläge | Weitere Überlegungen |
|---|---|---|
| Erfordert Protokollfilterung | Logstash verwenden Verwenden von Azure-Funktionen Verwenden von LogicApps Verwenden von benutzerdefiniertem Code (.NET, Python) |
Die Filterung kann zu Kosteneinsparungen führen und erfasst nur die benötigten Daten, einige Microsoft Sentinel-Funktionen werden jedoch nicht unterstützt, darunter UEBA, Entitätsseiten, maschinelles Lernen und Fusion. Nehmen Sie beim Konfigurieren der Protokollfilterung Aktualisierungen in Ressourcen vor, z. B. in Abfragen zur Bedrohungssuche und Analyseregeln. |
| Agent kann nicht installiert werden | Verwenden von Windows-Ereignisweiterleitung, unterstützt mit dem Azure Monitor-Agent | Die Verwendung von Windows-Ereignisweiterleitung senkt die Lastausgleichsereignisse der Windows-Ereignissammlung von 10.000 Ereignissen auf 500 bis 1000 Ereignisse pro Sekunde. |
| Server stellen keine Verbindung mit dem Internet her | Verwenden des Log Analytics-Gateways | Zum Konfigurieren eines Proxys für Ihren Agent sind zusätzliche Firewallregeln erforderlich, damit das Gateway funktioniert. |
| Erfordert Tagging und Anreicherung bei der Erfassung | Verwenden von Logstash zum Einfügen einer ResourceID Verwenden einer ARM-Vorlage zum Einfügen der ResourceID in lokale Computer Erfassen der Ressourcen-ID in separaten Arbeitsbereichen |
Log Analytics unterstützt RBAC für benutzerdefinierte Tabellen nicht Microsoft Sentinel unterstützt RBAC auf Zeilenebene nicht Tipp: Möglicherweise möchten Sie Design und Funktionen für Microsoft Sentinel verwenden, die arbeitsbereichsübergreifend sind. |
| Erfordert das Aufteilen von Vorgangs- und Sicherheitsprotokollen | Verwenden der Multi-Home-Funktionalität von Microsoft Monitor-Agent oder Azure Monitor-Agent | Multi-Home-Funktionalität erfordert mehr Bereitstellungsaufwand für den Agent. |
| Erfordert benutzerdefinierte Protokolle | Sammeln von Dateien aus bestimmten Ordnerpfaden Api-Aufnahme verwenden Verwenden von PowerShell Verwenden von Logstash |
Möglicherweise haben Sie Probleme beim Filtern Ihrer Protokolle. Benutzerdefinierte Methoden werden nicht unterstützt. Benutzerdefinierte Connectors erfordern möglicherweise Entwicklerkenntnisse. |
Lokale Linux-Protokollsammlung
| Herausforderung/Anforderung | Lösungsvorschläge | Weitere Überlegungen |
|---|---|---|
| Erfordert Protokollfilterung | Verwenden von Syslog-NG Verwenden von Rsyslog Verwenden der FluentD-Konfiguration für den Agent Verwenden des Azure Monitor Agent/Microsoft Monitoring Agent Verwenden von Logstash |
Einige Linux-Distributionen werden vom Agent möglicherweise nicht unterstützt. Für die Verwendung von Syslog oder FluentD sind Entwicklerkenntnisse erforderlich. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Windows-Servern, um sicherheitsrelevantes Ereignisse zu sammeln und Ressourcen zum Erstellen von benutzerdefinierten Microsoft Sentinel-Connectors. |
| Agent kann nicht installiert werden | Verwenden Sie eine Syslog-Weiterleitung, z. B. syslog-ng oder rsyslog. | |
| Server stellen keine Verbindung mit dem Internet her | Verwenden des Log Analytics-Gateways | Zum Konfigurieren eines Proxys für Ihren Agent sind zusätzliche Firewallregeln erforderlich, damit das Gateway funktioniert. |
| Erfordert Tagging und Anreicherung bei der Erfassung | Verwenden Sie Logstash für die Anreicherung oder benutzerdefinierte Methoden wie API oder Event Hubs. | Möglicherweise ist für die Filterung zusätzlicher Aufwand erforderlich. |
| Erfordert das Aufteilen von Vorgangs- und Sicherheitsprotokollen | Verwenden Sie den Azure Monitor-Agent mit der Multi-Homing-Konfiguration. | |
| Erfordert benutzerdefinierte Protokolle | Erstellen Sie einen benutzerdefinierten Collector mit dem Microsoft Monitoring-Agent (Log Analytics). |
Endpunktlösungen
Wenn Sie Protokolle von Endpunktlösungen wie EDR, anderen Sicherheitsereignissen, Sysmon usw. sammeln müssen, verwenden Sie eine der folgenden Methoden:
- Microsoft Defender XDR-Connector zum Sammeln von Protokollen von Microsoft Defender für Endpunkt. Diese Option verursacht zusätzliche Kosten für die Datenerfassung.
- Windows-Ereignisweiterleitung.
Hinweis
Der Lastenausgleich reduziert die Ereignisse pro Sekunde, die im Arbeitsbereich verarbeitet werden können.
Office-Daten
Wenn Sie Microsoft Office Daten außerhalb der Standardconnectordaten sammeln müssen, verwenden Sie eine der folgenden Lösungen:
| Herausforderung/Anforderung | Lösungsvorschläge | Weitere Überlegungen |
|---|---|---|
| Sammeln von Rohdaten aus Teams, Nachrichtenablaufverfolgung, Phishingdaten usw. | Verwenden Sie die integrierten Funktionen des Office 365-Connectors, und erstellen Sie dann einen benutzerdefinierten Connector für andere Rohdaten. | Das Zuordnen von Ereignissen zur entsprechenden recordID kann eine Herausforderung darstellen. |
| Erfordert RBAC zum Aufteilen von Ländern/Regionen, Abteilungen usw. | Passen Sie Ihre Datensammlung an, indem Sie Daten Tags hinzufügen und dedizierte Arbeitsbereiche für jede benötigte Trennung erstellen. | Die benutzerdefinierte Datensammlung verursacht zusätzliche Erfassungskosten. |
| Erfordert mehrere Mandanten in einem einzelnen Arbeitsbereich | Passen Sie Ihre Datensammlung mithilfe von Azure LightHouse und einer einheitlichen Incidentansicht an. | Die benutzerdefinierte Datensammlung verursacht zusätzliche Erfassungskosten. Weitere Informationen finden Sie unter Erweitern von Microsoft Sentinel auf Arbeitsbereiche und Mandanten. |
Cloudplattformdaten
| Herausforderung/Anforderung | Lösungsvorschläge | Weitere Überlegungen |
|---|---|---|
| Filtern von Protokollen von anderen Plattformen | Logstash verwenden Verwenden des Azure Monitor-Agents/Microsoft Monitoring Agent (Log Analytics) |
Die benutzerdefinierte Sammlung verursacht zusätzliche Erfassungskosten. Es kann eine Herausforderung sein, alle Windows-Ereignisse und nicht nur Sicherheitsereignisse zu sammeln. |
| Agent kann nicht verwendet werden | Verwenden von Windows-Ereignisweiterleitung | Möglicherweise müssen Sie Lastausgleich für Ihre Ressourcen vornehmen. |
| Server befinden sich im Air-Gap-Netzwerk | Verwenden des Log Analytics-Gateways | Zum Konfigurieren eines Proxys für Ihren Agent sind Firewallregeln erforderlich, damit das Gateway funktioniert. |
| RBAC, Tagging und Anreicherung bei der Erfassung | Erstellen Sie eine benutzerdefinierte Sammlung über Logstash oder die Log Analytics-API. | RBAC wird für benutzerdefinierte Tabellen nicht unterstützt. RBAC auf Zeilenebene wird für Tabellen nicht unterstützt. |
Nächste Schritte
Weitere Informationen finden Sie unter