Best practices voor gegevensverzameling
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
In deze sectie worden de best practices voor het verzamelen van gegevens met behulp van Microsoft Sentinel-gegevensconnectoren bespreekt. Zie voor meer informatie Verbinding maken gegevensbronnen, naslaginformatie over Microsoft Sentinel-gegevensconnectorenen de microsoft Sentinel-oplossingencatalogus.
Uw gegevensconnectoren prioriteren
Als het voor u onduidelijk is welke gegevensconnectoren uw omgeving het beste kunnen bedienen, moet u eerst alle gratis gegevensconnectoren inschakelen.
De gratis gegevensconnectoren tonen zo snel mogelijk waarde van Microsoft Sentinel, terwijl u andere gegevensconnectoren en budgetten blijft plannen.
Voor uw partner en aangepaste gegevensconnectoren begint u met het instellen van Syslog- en CEF-connectors, met de hoogste prioriteit eerst, evenals alle Linux-apparaten.
Als uw gegevens opnemen te duur wordt, stopt of filtert u de logboeken die worden doorgestuurd met behulp van de Azure Monitor Agent.
Tip
Met aangepaste gegevensconnectoren kunt u gegevens opnemen in Microsoft Sentinel vanuit gegevensbronnen die momenteel niet worden ondersteund door ingebouwde functionaliteit, zoals via agent, Logstash of API. Zie Resources voor het maken van aangepaste Microsoft Sentinel-connectors voor meer informatie.
Uw logboeken filteren vóór opname
Mogelijk wilt u de verzamelde logboeken of zelfs logboekinhoud filteren voordat de gegevens worden opgenomen in Microsoft Sentinel. U kunt bijvoorbeeld logboeken filteren die irrelevant of niet belangrijk zijn voor beveiligingsbewerkingen, of ongewenste gegevens verwijderen uit logboekberichten. Het filteren van berichtinhoud kan ook nuttig zijn bij het verlagen van de kosten bij het werken met Syslog-, CEF- of Windows-logboeken met veel irrelevante details.
Filter uw logboeken met een van de volgende methoden:
De Azure Monitor Agent. Ondersteund op zowel Windows als Linux om beveiligingsgebeurtenissen Windows opnemen. Filter de logboeken die worden verzameld door de agent zo te configureren dat alleen opgegeven gebeurtenissen worden verzameld.
Logstash. Ondersteunt het filteren van berichtinhoud, inclusief het aanbrengen van wijzigingen in de logboekberichten. Zie voor meer informatie Verbinding maken met Logstash.
Belangrijk
Als u Logstash gebruikt om uw berichtinhoud te filteren, worden uw logboeken opgenomen als aangepaste logboeken, waardoor logboeken in de gratis laag logboeken met een betaalde laag worden.
Aangepaste logboeken moeten ook worden gebruikt in analyseregels, threat huntingen werkmappen,omdat ze niet automatisch worden toegevoegd. Aangepaste logboeken worden momenteel ook niet ondersteund voor Machine Learning mogelijkheden.
Alternatieve vereisten voor gegevensingestie
Standaardconfiguratie voor het verzamelen van gegevens werkt mogelijk niet goed voor uw organisatie, vanwege verschillende uitdagingen. In de volgende tabellen worden veelvoorkomende uitdagingen of vereisten en mogelijke oplossingen en overwegingen beschreven.
Notitie
Voor veel onderstaande oplossingen is een aangepaste gegevensconnector vereist. Zie Resources voor het maken van aangepaste Microsoft Sentinel-connectors voor meer informatie.
On-premises Windows logboekverzameling
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Vereist logboekfiltering | Logstash gebruiken Azure Functions gebruiken LogicApps gebruiken Aangepaste code gebruiken (.NET, Python) |
Filteren kan leiden tot kostenbesparingen en alleen de vereiste gegevens opnemen, maar sommige Microsoft Sentinel-functies worden niet ondersteund, zoals UEBA,entiteitspagina's, machine learningen fusion. Wanneer u logboekfiltering configureert, moet u updates maken in resources, zoals query's voor het zoeken van bedreigingen en analyseregels |
| Agent kan niet worden geïnstalleerd | Gebruik Windows Event Forwarding, ondersteund met de Azure Monitor Agent | Met Windows doorsturen van gebeurtenissen verlaagt taakverdelingsgebeurtenissen per seconde van de Windows Event Collector, van 10.000 gebeurtenissen tot 500-1000 gebeurtenissen. |
| Servers maken geen verbinding met internet | De Log Analytics-gateway gebruiken | Voor het configureren van een proxy voor uw agent zijn extra firewallregels vereist om de gateway te laten werken. |
| Vereist taggen en verrijking bij opname | Logstash gebruiken om een ResourceID in te injecteren Een ARM-sjabloon gebruiken om de ResourceID in te sluiten op on-premises machines De resource-id opnemen in afzonderlijke werkruimten |
Log Analytics biedt geen ondersteuning voor RBAC voor aangepaste tabellen Microsoft Sentinel biedt geen ondersteuning voor RBAC op rijniveau Tip: mogelijk wilt u het ontwerp en de functionaliteit voor microsoft Sentinel voor alle werkruimten gebruiken. |
| Vereist splitsen van bewerkings- en beveiligingslogboeken | De functie Microsoft Monitor Agent of Azure Monitor Agent voor meerdere start-overdingsfuncties gebruiken | Voor de functionaliteit voor meerdere start-homes is meer implementatieoverhead voor de agent vereist. |
| Aangepaste logboeken vereist | Bestanden verzamelen van specifieke mappaden API-opname gebruiken PowerShell gebruiken Logstash gebruiken |
Mogelijk hebt u problemen met het filteren van uw logboeken. Aangepaste methoden worden niet ondersteund. Voor aangepaste connectors zijn mogelijk vaardigheden van ontwikkelaars vereist. |
On-premises Linux-logboekverzameling
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Vereist logboekfiltering | Syslog-NG gebruiken Rsyslog gebruiken FluentD-configuratie gebruiken voor de agent De agent voor Azure Monitor/Microsoft Monitoring Agent gebruiken Logstash gebruiken |
Sommige Linux-distributies worden mogelijk niet ondersteund door de agent. Voor het gebruik van Syslog of FluentD is kennis van ontwikkelaars vereist. Zie Beveiligingsgebeurtenissen verzamelen Verbinding maken Windows servers voor het verzamelen van beveiligingsgebeurtenissen en Resources voor het maken van aangepaste Microsoft Sentinel-connectors voor meer informatie. |
| Agent kan niet worden geïnstalleerd | Gebruik een Syslog-doorsturender, zoals (syslog-ng of rsyslog. | |
| Servers maken geen verbinding met internet | De Log Analytics-gateway gebruiken | Voor het configureren van een proxy voor uw agent zijn extra firewallregels vereist om de gateway te laten werken. |
| Vereist taggen en verrijking bij opname | Gebruik Logstash voor verrijking of aangepaste methoden, zoals API of EventHubs. | Mogelijk moet u extra moeite doen om te filteren. |
| Vereist splitsen van bewerkings- en beveiligingslogboeken | Gebruik de Azure Monitor agent met de multi-homing-configuratie. | |
| Aangepaste logboeken vereist | Maak een aangepaste collector met behulp van de Microsoft Monitoring-agent (Log Analytics). | |
Eindpuntoplossingen
Als u logboeken moet verzamelen van eindpuntoplossingen, zoals EDR, andere beveiligingsgebeurtenissen, Sysmon, en meer, gebruikt u een van de volgende methoden:
- MTP-connector voor het verzamelen van logboeken Microsoft 365 Defender voor eindpunt. Voor deze optie worden extra kosten in rekening brengen voor de gegevensingestie.
- Windows Event Forwarding.
Notitie
Taakverdeling vermindert de gebeurtenissen per seconde die naar de werkruimte kunnen worden verwerkt.
Office gegevens
Als u gegevens van Microsoft Office wilt verzamelen, gebruikt u een van de volgende oplossingen buiten de standaardgegevens van de connector:
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Onbewerkte gegevens verzamelen van Teams, bericht trace, phishing-gegevens, en meer | Gebruik de ingebouwde functionaliteit Office 365 connector en maak vervolgens een aangepaste connector voor andere onbewerkte gegevens. | Het toewijzen van gebeurtenissen aan de bijbehorende recordID kan lastig zijn. |
| RBAC is vereist voor het splitsen van landen, afdelingen, en meer | Pas uw gegevensverzameling aan door tags toe te voegen aan gegevens en toegewezen werkruimten te maken voor elke benodigde scheiding. | Aangepaste gegevensverzameling heeft extra opnamekosten. |
| Vereist meerdere tenants in één werkruimte | Pas uw gegevensverzameling aan met behulp van Azure LightHouse en een uniforme incidentweergave. | Aangepaste gegevensverzameling heeft extra opnamekosten. Zie Microsoft Sentinel uitbreiden naar werkruimten en tenants voor meer informatie. |
Cloudplatformgegevens
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Logboeken van andere platforms filteren | Logstash gebruiken De agent Azure Monitor agent /Microsoft Monitoring (Log Analytics) gebruiken |
Aangepaste verzameling heeft extra opnamekosten. Mogelijk moet u alle beveiligingsgebeurtenissen verzamelen Windows alleen beveiligingsgebeurtenissen. |
| Agent kan niet worden gebruikt | Event Forwarding Windows gebruiken | Mogelijk moet u de inspanningen over uw resources in balans brengen. |
| Servers hebben een netwerk met een hiaat in de lucht | De Log Analytics-gateway gebruiken | Voor het configureren van een proxy voor uw agent zijn firewallregels vereist om de gateway te laten werken. |
| RBAC, taggen en verrijking bij opname | Maak een aangepaste verzameling via Logstash of de Log Analytics-API. | RBAC wordt niet ondersteund voor aangepaste tabellen RBAC op rijniveau wordt niet ondersteund voor tabellen. |
Volgende stappen
Zie voor meer informatie: