Metodtips för datainsamling
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
Det här avsnittet går igenom metodtips för att samla in data med hjälp av Microsoft Sentinel-dataanslutningar. Mer information finns i Anslut datakällor,Referens för Microsoft Sentinel-dataanslutningaroch microsoft Sentinel-lösningskatalogen.
Prioritera dina datakopplingar
Om det är oklart för dig vilka dataanslutningar som passar bäst för din miljö börjar du med att aktivera alla kostnadsfria dataanslutningar.
De kostnadsfria dataanslutningsapparna börjar visa värde från Microsoft Sentinel så snart som möjligt, medan du fortsätter att planera andra dataanslutningar och budgetar.
För dina partner- och anpassade dataanslutningar börjar du med att konfigurera Syslog- och CEF-anslutningsappar med högsta prioritet först, samt alla Linux-baserade enheter.
Om din datainmatning blir för dyr, för snabbt, stoppar eller filtrerar du loggarna som vidarebefordras med hjälp av Azure Monitor Agent.
Tips
Med anpassade dataanslutningar kan du mata in data i Microsoft Sentinel från datakällor som för närvarande inte stöds av inbyggda funktioner, till exempel via agent, Logstash eller API. Mer information finns i Resurser för att skapa anpassade Microsoft Sentinel-anslutningsappar.
Filtrera loggarna före inmatning
Du kanske vill filtrera de loggar som samlas in, eller till och med logga innehåll, innan data matas in i Microsoft Sentinel. Du kanske till exempel vill filtrera bort loggar som är irrelevanta eller oviktiga för säkerhetsåtgärder, eller som du kanske vill ta bort oönskad information från loggmeddelanden. Filtrering av meddelandeinnehåll kan också vara användbart när du försöker sänka kostnaderna när du arbetar med Syslog, CEF eller Windows-baserade loggar som har många irrelevanta detaljer.
Filtrera loggarna med någon av följande metoder:
Den Azure Monitor Agent. Stöds på både Windows och Linux för att mata in Windows säkerhetshändelser. Filtrera loggarna som samlas in genom att konfigurera agenten så att den endast samlar in angivna händelser.
Logstash. Stöder filtrering av meddelandeinnehåll, inklusive att göra ändringar i loggmeddelanden. Mer information finns i Anslut med Logstash.
Viktigt
Om du använder Logstash för att filtrera meddelandeinnehållet kommer dina loggar att matas in som anpassade loggar, vilket gör att alla loggar på den kostnadsfria nivån blir loggar på betalnivå.
Anpassade loggar måste också bearbetas i analysregler, hotjaktoch arbetsböckereftersom de inte läggs till automatiskt. Anpassade loggar stöds inte heller för Machine Learning funktioner.
Alternativa datainmatningskrav
Standardkonfigurationen för datainsamling kanske inte fungerar bra för din organisation på grund av olika utmaningar. I följande tabeller beskrivs vanliga utmaningar eller krav samt möjliga lösningar och överväganden.
Anteckning
Många lösningar som anges nedan kräver en anpassad dataanslutning. Mer information finns i Resurser för att skapa anpassade Microsoft Sentinel-anslutningsappar.
Lokal Windows logginsamling
| Utmaning/krav | Möjliga lösningar | Överväganden |
|---|---|---|
| Kräver loggfiltrering | Använda Logstash Använda Azure Functions Använda LogicApps Använda anpassad kod (.NET, Python) |
Filtrering kan leda till kostnadsbesparingar och matar bara in nödvändiga data, men vissa Microsoft Sentinel-funktioner stöds inte, till exempel UEBA,entitetssidor, maskininlärningoch fusion. När du konfigurerar loggfiltrering måste du göra uppdateringar i resurser som hotjaktsfrågor och analysregler |
| Agenten kan inte installeras | Använd Windows vidarebefordran av händelser som stöds med Azure Monitor agenten | Med Windows-vidarebefordran av händelser sänks belastningsutjämningshändelser per sekund från Windows Event Collector, från 10 000 händelser till 500–1 000 händelser. |
| Servrar ansluter inte till Internet | Använda Log Analytics-gatewayen | Att konfigurera en proxy till din agent kräver extra brandväggsregler för att gatewayen ska fungera. |
| Kräver taggning och berikning vid inmatning | Använda Logstash för att mata in ett ResourceID Använda en ARM-mall för att mata in ResourceID i lokala datorer Mata in resurs-ID:t i separata arbetsytor |
Log Analytics stöder inte RBAC för anpassade tabeller Microsoft Sentinel stöder inte RBAC på radnivå Tips: Du kanske vill införa design och funktioner för flera arbetsytor för Microsoft Sentinel. |
| Kräver delning av åtgärds- och säkerhetsloggar | Använda Microsoft Monitor-agenten eller Azure Monitor agent för flera hem | Funktioner för flera hem kräver mer omkostnader för distribution för agenten. |
| Kräver anpassade loggar | Samla in filer från specifika mappsökvägar Använda API-inmatning Använd PowerShell Använda Logstash |
Du kan ha problem med att filtrera loggarna. Anpassade metoder stöds inte. Anpassade anslutningsappar kan kräva utvecklarkunskaper. |
Lokal Linux-logginsamling
| Utmaning/krav | Möjliga lösningar | Överväganden |
|---|---|---|
| Kräver loggfiltrering | Använda Syslog-NG Använda Rsyslog Använda FluentD-konfiguration för agenten Använda Azure Monitor agenten/Microsoft Monitoring Agent Använda Logstash |
Vissa Linux-distributioner kanske inte stöds av agenten. Användning av Syslog eller FluentD kräver utvecklarkunskaper. Mer information finns i artikeln Anslut att Windows-servrar för att samla in säkerhetshändelser och resurser för att skapa anpassade Microsoft Sentinel-anslutningsappar. |
| Agenten kan inte installeras | Använd en Syslog-vidarebefordrare, till exempel (syslog-ng eller rsyslog. | |
| Servrar ansluter inte till Internet | Använda Log Analytics-gatewayen | Att konfigurera en proxy till din agent kräver extra brandväggsregler för att gatewayen ska fungera. |
| Kräver taggning och berikning vid inmatning | Använd Logstash för berikning eller anpassade metoder, till exempel API eller EventHubs. | Det kan krävas extra arbete för filtrering. |
| Kräver delning av åtgärds- och säkerhetsloggar | Använd Azure Monitor-agenten med konfigurationen med flera program. | |
| Kräver anpassade loggar | Skapa en anpassad insamlare med hjälp av Microsoft Monitoring-agenten (Log Analytics). | |
Slutpunktslösningar
Om du behöver samla in loggar från slutpunktslösningar, till exempel Identifiering och åtgärd på slutpunkt, andra säkerhetshändelser, Sysmon och så vidare, använder du någon av följande metoder:
- MTP-anslutning för att samla in loggar Microsoft 365 Defender för slutpunkt. Det här alternativet medför extra kostnader för datainmatningen.
- Windows vidarebefordran av händelser.
Anteckning
Belastningsutjämning minskar antalet händelser per sekund som kan bearbetas till arbetsytan.
Office data
Om du behöver samla Microsoft Office data utanför standardanslutningsdata kan du använda någon av följande lösningar:
| Utmaning/krav | Möjliga lösningar | Överväganden |
|---|---|---|
| Samla in rådata från Teams, meddelandespårning, nätfiskedata och så vidare | Använd den inbyggda Office 365 och skapa sedan en anpassad anslutningsapp för andra rådata. | Det kan vara svårt att mappa händelser till motsvarande recordID. |
| Kräver RBAC för att dela upp länder, avdelningar och så vidare | Anpassa datainsamlingen genom att lägga till taggar till data och skapa dedikerade arbetsytor för varje separation som behövs. | Anpassad datainsamling har extra inmatningskostnader. |
| Kräver flera klienter i en enda arbetsyta | Anpassa datainsamlingen med Hjälp av Azure LightHouse och en enhetlig incidentvy. | Anpassad datainsamling har extra inmatningskostnader. Mer information finns i Utöka Microsoft Sentinel mellan arbetsytor och klienter. |
Molnplattformsdata
| Utmaning/krav | Möjliga lösningar | Överväganden |
|---|---|---|
| Filtrera loggar från andra plattformar | Använda Logstash Använda agenten Azure Monitor/Microsoft Monitoring (Log Analytics) |
Anpassad samling har extra inmatningskostnader. Det kan vara svårt att samla in alla Windows händelser jämfört med endast säkerhetshändelser. |
| Agenten kan inte användas | Använda vidarebefordran Windows händelse | Du kan behöva belastningsutjämna arbetet mellan dina resurser. |
| Servrar finns i ett trådlöst nätverk | Använda Log Analytics-gatewayen | Konfiguration av en proxy till agenten kräver brandväggsregler för att gatewayen ska fungera. |
| RBAC, taggning och berikning vid inmatning | Skapa anpassad samling via Logstash eller Log Analytics-API:et. | RBAC stöds inte för anpassade tabeller RBAC på radnivå stöds inte för några tabeller. |
Nästa steg
Mer information finns i: