Veri toplamaya yönelik en iyi yöntemler
Bu bölümde, Microsoft Sentinel veri bağlayıcılarını kullanarak veri toplamaya yönelik en iyi yöntemler incelenmektedir. Daha fazla bilgi için bkz. Bağlan veri kaynakları, Microsoft Sentinel veri bağlayıcıları başvurusu ve Microsoft Sentinel çözümleri kataloğu.
Veri bağlayıcılarınızın önceliğini belirleme
Microsoft Sentinel dağıtım işleminin bir parçası olarak veri bağlayıcılarınızın önceliklerini belirlemeyi öğrenin.
Veri alımı öncesinde günlüklerinizi filtreleme
Veriler Microsoft Sentinel'e alınmadan önce toplanan günlükleri, hatta günlük içeriğini filtrelemek isteyebilirsiniz. Örneğin, güvenlik işlemleriyle ilgisiz veya önemsiz günlükleri filtrelemek veya günlük iletilerinden istenmeyen ayrıntıları kaldırmak isteyebilirsiniz. birçok ilgisiz ayrıntıya sahip Syslog, CEF veya Windows tabanlı günlüklerle çalışırken maliyetleri azaltmaya çalışırken ileti içeriğini filtrelemek de yararlı olabilir.
Aşağıdaki yöntemlerden birini kullanarak günlüklerinizi filtreleyin:
Azure İzleyici Aracısı. Windows güvenlik olaylarını almak için hem Windows hem de Linux üzerinde desteklenir. Aracıyı yalnızca belirtilen olayları toplayacak şekilde yapılandırarak toplanan günlükleri filtreleyin.
Logstash. Günlük iletisinde değişiklik yapmak da dahil olmak üzere ileti içeriğini filtrelemeyi destekler. Daha fazla bilgi için bkz. Logstash ile Bağlan.
Önemli
İleti içeriğinizi filtrelemek için Logstash kullanmak günlüklerinizin özel günlükler olarak alınmasına ve ücretsiz katman günlüklerinin ücretli katman günlüklerine dönüşmasına neden olur.
Özel günlüklerin otomatik olarak eklenmediği için analiz kuralları, tehdit avcılığı ve çalışma kitapları üzerinde de çalışılması gerekir. Özel günlükler şu anda Machine Learning özellikleri için de desteklenmemektedir.
Alternatif veri alımı gereksinimleri
Çeşitli zorluklar nedeniyle veri toplamaya yönelik standart yapılandırma kuruluşunuzda iyi çalışmayabilir. Aşağıdaki tablolarda yaygın zorluklar veya gereksinimler ile olası çözümler ve dikkat edilmesi gerekenler açıklanmaktadır.
Dekont
Aşağıdaki bölümlerde listelenen birçok çözüm için özel bir veri bağlayıcısı gerekir. Daha fazla bilgi için bkz . Microsoft Sentinel özel bağlayıcıları oluşturma kaynakları.
Şirket içi Windows günlük koleksiyonu
| Sınama / Gereksinim | Olası çözümler | Dikkat edilmesi gereken noktalar |
|---|---|---|
| Günlük filtrelemesi gerektirir | Logstash kullanma Azure İşlevleri kullanma LogicApps'i kullanma Özel kod kullanma (.NET, Python) |
Filtreleme maliyet tasarrufuna neden olabilir ve yalnızca gerekli verileri alır ancak UEBA, varlık sayfaları, makine öğrenmesi ve fusion gibi bazı Microsoft Sentinel özellikleri desteklenmez. Günlük filtrelemeyi yapılandırırken tehdit avcılığı sorguları ve analiz kuralları gibi kaynaklarda güncelleştirmeler yapın |
| Aracı yüklenemiyor | Azure İzleyici Aracısı ile desteklenen Windows Olay İletme'yi kullanma | Windows Olay iletmeyi kullanmak, Windows Olay Toplayıcısı'ndan saniyede 10.000 olaydan 500-1000 olaya kadar yük dengeleme olaylarını düşürür. |
| Sunucular İnternet'e bağlanmıyor | Log Analytics ağ geçidini kullanma | Aracınıza bir ara sunucu yapılandırmak, Ağ Geçidi'nin çalışmasına izin vermek için ek güvenlik duvarı kuralları gerektirir. |
| Alım sırasında etiketleme ve zenginleştirme gerektirir | ResourceID eklemek için Logstash kullanma ResourceID'yi şirket içi makinelere eklemek için ARM şablonu kullanma Kaynak kimliğini ayrı çalışma alanlarına alma |
Log Analytics özel tablolar için RBAC'i desteklemez Microsoft Sentinel satır düzeyi RBAC'leri desteklemiyor İpucu: Microsoft Sentinel için çalışma alanları arası tasarım ve işlevselliği benimsemek isteyebilirsiniz. |
| İşlemin ve güvenlik günlüklerinin bölünmesi gerekir | Microsoft İzleyici Aracısı veya Azure İzleyici Aracısı çoklu ev işlevselliğini kullanma | Çok girişli işlevsellik, aracı için daha fazla dağıtım yükü gerektirir. |
| Özel günlükler gerektirir | Belirli klasör yollarından dosya toplama API alımını kullanma PowerShell kullanma Logstash kullanma |
Günlüklerinizi filtreleme konusunda sorunlarla karşılaşabilirsiniz. Özel yöntemler desteklenmez. Özel bağlayıcılar geliştirici becerileri gerektirebilir. |
Şirket içi Linux günlük koleksiyonu
| Sınama / Gereksinim | Olası çözümler | Dikkat edilmesi gereken noktalar |
|---|---|---|
| Günlük filtrelemesi gerektirir | Syslog-NG kullanma Rsyslog kullanma Aracı için FluentD yapılandırmasını kullanma Azure İzleyici Aracısı/Microsoft Monitoring Agent kullanma Logstash kullanma |
Bazı Linux dağıtımları aracı tarafından desteklenmeyebilir. Syslog veya FluentD kullanmak için geliştirici bilgisi gerekir. Daha fazla bilgi için bkz. Güvenlik olaylarını toplamak için Windows sunucularına Bağlan ve Microsoft Sentinel özel bağlayıcıları oluşturmaya yönelik kaynaklar. |
| Aracı yüklenemiyor | (syslog-ng veya rsyslog) gibi bir Syslog ileticisi kullanın. | |
| Sunucular İnternet'e bağlanmıyor | Log Analytics ağ geçidini kullanma | Aracınıza bir ara sunucu yapılandırmak, Ağ Geçidi'nin çalışmasına izin vermek için ek güvenlik duvarı kuralları gerektirir. |
| Alım sırasında etiketleme ve zenginleştirme gerektirir | Zenginleştirme için Logstash'i veya API veya Event Hubs gibi özel yöntemleri kullanın. | Filtreleme için fazladan çaba gerektirebilir. |
| İşlemin ve güvenlik günlüklerinin bölünmesi gerekir | Çok girişli yapılandırmayla Azure İzleyici Aracısı'nı kullanın. | |
| Özel günlükler gerektirir | Microsoft Monitoring (Log Analytics) aracısını kullanarak özel bir toplayıcı oluşturun. |
Uç nokta çözümleri
EDR, diğer güvenlik olayları, Sysmon vb. gibi Uç nokta çözümlerinden günlük toplamanız gerekiyorsa aşağıdaki yöntemlerden birini kullanın:
- Uç Nokta için Microsoft Defender günlükleri toplamak için Microsoft Defender XDR bağlayıcısı. Bu seçenek, veri alımı için ek maliyetler doğurabilir.
- Windows Olay İletme.
Dekont
Yük dengeleme, çalışma alanına işlenebilen saniye başına olayları keser.
Office verileri
Microsoft Office verilerini standart bağlayıcı verilerinin dışında toplamanız gerekiyorsa aşağıdaki çözümlerden birini kullanın:
| Sınama / Gereksinim | Olası çözümler | Dikkat edilmesi gereken noktalar |
|---|---|---|
| Teams'den ham veri toplama, ileti izleme, kimlik avı verileri vb. | Yerleşik Office 365 bağlayıcısı işlevselliğini kullanın ve ardından diğer ham veriler için özel bir bağlayıcı oluşturun. | Olayları ilgili recordID ile eşlemek zor olabilir. |
| Ülkeleri/bölgeleri, departmanları vb. bölmek için RBAC gerektirir | Verilere etiket ekleyerek ve gereken her ayrım için ayrılmış çalışma alanları oluşturarak veri koleksiyonunuzu özelleştirin. | Özel veri toplamanın ek alım maliyetleri vardır. |
| Tek bir çalışma alanında birden çok kiracı gerektirir | Azure LightHouse ve birleşik bir olay görünümünü kullanarak veri koleksiyonunuzu özelleştirin. | Özel veri toplamanın ek alım maliyetleri vardır. Daha fazla bilgi için bkz . Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme. |
Bulut platformu verileri
| Sınama / Gereksinim | Olası çözümler | Dikkat edilmesi gereken noktalar |
|---|---|---|
| Diğer platformlardan günlükleri filtreleme | Logstash kullanma Azure İzleyici Aracısı / Microsoft monitoring (Log Analytics) aracısını kullanma |
Özel koleksiyonun ek alım maliyetleri vardır. Tüm Windows olaylarını ve yalnızca güvenlik olaylarını toplama konusunda zorluk yaşayabilirsiniz. |
| Aracı kullanılamıyor | Windows Olay İletme'yi kullanma | Kaynaklarınız arasında yük dengeleme çalışmaları yapmanız gerekebilir. |
| Sunucular havayla eşlenen ağda | Log Analytics ağ geçidini kullanma | Aracınıza bir ara sunucu yapılandırmak için Ağ Geçidi'nin çalışmasına izin vermek için güvenlik duvarı kuralları gerekir. |
| Alımda RBAC, etiketleme ve zenginleştirme | Logstash veya Log Analytics API'si aracılığıyla özel koleksiyon oluşturun. | RBAC özel tablolar için desteklenmez Satır düzeyi RBAC hiçbir tablo için desteklenmez. |
Sonraki adımlar
Daha fazla bilgi için bkz.