Veri toplamaya yönelik en iyi yöntemler
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Bu bölüm, Microsoft Sentinel veri bağlayıcılarını kullanarak veri toplamaya yönelik en iyi yöntemleri gözden almaktadır. Daha fazla bilgi için bkz. Bağlan kaynakları, Microsoft Sentinelveri bağlayıcıları başvurusu ve Microsoft Sentinel çözüm kataloğu.
Veri bağlayıcılarınızı önceliklendirme
Hangi veri bağlayıcıların ortamınıza en iyi şekilde hizmet verecek olduğu belirsizse, başlangıç olarak tüm ücretsiz veri bağlayıcılarını etkinleştirin.
Ücretsiz veri bağlayıcıları mümkün olan en kısa sürede Microsoft Sentinel'den değer göstermeye başlarken, siz de diğer veri bağlayıcılarını ve bütçelerini planlamaya devam edersiniz.
İş ortağınız ve özel veri bağlayıcıları için başlangıç olarak Hem En yüksek önceliğe hem de Linux tabanlı cihazlara sahip Syslog ve CEF bağlayıcılarını ayarlamaya başlayabilirsiniz.
Veri alımınız çok pahalıya geliyorsa, Azure İzleyici Aracısı kullanılarak iletili günlükleri durdurun veya filtreleyebilirsiniz.
İpucu
Özel veri bağlayıcıları aracı, Logstash veya API gibi yerleşik işlevler tarafından şu anda destek alınamay veri kaynaklarından Microsoft Sentinel'e veri alamanızı sağlar. Daha fazla bilgi için bkz. Microsoft Sentinel özel bağlayıcıları oluşturmaya ilişkin kaynaklar.
Veri alımı öncesinde günlüklerinizi filtreleme
Veriler Microsoft Sentinel'e alınmadan önce toplanan günlükleri, hatta günlük içeriğini filtrelemek istemeniz gerekir. Örneğin, güvenlik işlemleriyle ilgisiz veya önemli olmayan günlükleri filtrelemek veya günlük iletilerinden istenmeyen ayrıntıları kaldırmak istiyor olabilir. İleti içeriğini filtreleme, Syslog, CEF veya birçok ilgisiz ayrıntıya sahip Windows tabanlı günlüklerle çalışırken maliyetlerin azaltılmaya çalışılmalarına da yardımcı olabilir.
Aşağıdaki yöntemlerden birini kullanarak günlüklerinizi filtreleyebilirsiniz:
Azure İzleyici Aracısı. Güvenlik olaylarını Windows için hem Windows Linux'ta desteklemektedir. Aracıyı yalnızca belirtilen olayları toplanacak şekilde yapılandırarak toplanan günlükleri filtreleyebilirsiniz.
Logstash. Günlük iletilerde değişiklik yapmak da dahil olmak üzere ileti içeriğini filtrelemeyi destekler. Daha fazla bilgi için bkz. Logstash ile Bağlan.
Önemli
İleti içeriğinizi filtrelemek için Logstash'in kullanımı günlüklerinin özel günlükler olarak kabul ednerek ücretsiz katman günlüklerinin ücretli katman günlüklere dönüşecek şekilde tutulmasına neden olur.
Özel günlükler otomatik olarak eklenmeytiği için analiz kurallarında, tehditavcılığında ve çalışma kitaplarında da çalışılır. Özel günlükler şu anda özel günlükler için Machine Learning değildir.
Alternatif veri alımı gereksinimleri
Veri toplama için standart yapılandırma, çeşitli zorluklardan dolayı, kuruluş için iyi çalışmayabilirsiniz. Aşağıdaki tablolarda yaygın güçlükler veya gereksinimler, olası çözümler ve önemli noktalar açıkmaktadır.
Not
Aşağıda listelenen birçok çözüm için özel bir veri bağlayıcısı gerekir. Daha fazla bilgi için bkz. Microsoft Sentinel özel bağlayıcıları oluşturmaya ilişkin kaynaklar.
Şirket içi Windows günlük koleksiyonu
| Zorluk / Gereksinim | Olası çözümler | Dikkat edilmesi gerekenler |
|---|---|---|
| Günlük filtrelemesi gerektirir | Logstash kullanma Azure İşlevleri’ni kullanma LogicApps kullanma Özel kod kullanma (.NET, Python) |
Filtreleme maliyet tasarrufuna neden olabilir ve yalnızca gerekli verileri alırken, UEBA,varlık sayfaları, makine öğrenmesi ve fusion gibi bazı Microsoft Sentinel özellikleri desteklenmiyor. Günlük filtrelemeyi yapılandırıyorsanız tehdit avcılığı sorguları ve analiz kuralları gibi kaynaklarda güncelleştirmeler yapmak gerekir |
| Aracı yük olamaz | Windows Aracısı ile desteklenen olay iletme Azure İzleyici kullanın | Windows Olay iletmenin kullanımı, Windows Olay Toplayıcısı'nın saniye başına yük dengeleme olaylarını 10.000 olaydan 500-1000 olaya düşürerek. |
| Sunucular İnternet'e bağlanamıyor | Log Analytics ağ geçidini kullanma | Aracınıza ara sunucu yapılandırmak için Ağ Geçidinin çalışmasına izin vermek için ek güvenlik duvarı kuralları gerekir. |
| Alımın ardından etiketleme ve zenginleştirme gerektirir | ResourceID'i ekleme için Logstash kullanma ResourceID'i şirket içi makinelere ekleme için ARM şablonu kullanma Kaynak kimliğini ayrı çalışma alanlarına alın |
Log Analytics özel tablolar için RBAC'yi desteklemez Microsoft Sentinel satır düzeyi RBAC'yi desteklemez İpucu: Microsoft Sentinel için çalışma alanları arası tasarımını ve işlevselliğini benimsemek istiyor olabilirsiniz. |
| Bölme işlemi ve güvenlik günlükleri gerektirir | Microsoft İzleyici Aracısı'Azure İzleyici Aracı çok girişli işlevselliğini kullanma | Çok girişli işlevsellik, aracı için daha fazla dağıtım yükü gerektirir. |
| Özel günlükler gerektirir | Belirli klasör yollarından dosya toplama API alımını kullanma PowerShell kullanma Logstash kullanma |
Günlüklerinizi filtreleme sorunlarınız olabilir. Özel yöntemler desteklenmiyor. Özel bağlayıcılar için geliştirici becerilerine ihtiyaç olabilir. |
Şirket içi Linux günlük koleksiyonu
| Zorluk / Gereksinim | Olası çözümler | Dikkat edilmesi gerekenler |
|---|---|---|
| Günlük filtrelemesi gerektirir | Syslog-NG kullanma Rsyslog kullanma Aracı için FluentD yapılandırmasını kullanma Azure İzleyici Agent/Microsoft Monitoring Agent Logstash kullanma |
Bazı Linux dağıtımları aracı tarafından desteklenmiyor olabilir. Syslog veya FluentD kullanmak için geliştirici bilgisi gerekir. Daha fazla bilgi için, bkz. Bağlan ve Microsoft Sentinelözel bağlayıcıları oluşturmaya Windows kaynakları toplamak üzere sunuculara yükleme. |
| Aracı yük olamaz | (syslog-ng veya rsyslog) gibi bir Syslog ileticisi kullanın. | |
| Sunucular İnternet'e bağlanamıyor | Log Analytics ağ geçidini kullanma | Aracınıza ara sunucu yapılandırmak için Ağ Geçidinin çalışmasına izin vermek için ek güvenlik duvarı kuralları gerekir. |
| Alımın ardından etiketleme ve zenginleştirme gerektirir | Zenginleştirmek için Logstash'i veya API veya EventHubs gibi özel yöntemleri kullanın. | Filtreleme için fazladan çaba gerekebilir. |
| Bölme işlemi ve güvenlik günlükleri gerektirir | Azure İzleyici Aracı'sı birden çok kullanıcılı yapılandırma ile birlikte kullanın. | |
| Özel günlükler gerektirir | Microsoft Monitoring (Log Analytics) aracıyı kullanarak özel bir toplayıcı oluşturun. | |
Uç nokta çözümleri
EDR, diğer güvenlik olayları, Sysmon gibi Uç Nokta çözümlerinden günlükleri toplamanız gerekirse aşağıdaki yöntemlerden birini kullanın:
- Uç Nokta için bir ağdan günlükleri Microsoft 365 Defender MTP bağlayıcısı. Bu seçenek, veri alımı için ek maliyetler sağlar.
- Windows olay iletme.
Not
Yük dengeleme, çalışma alanına işlenilebilecek saniye başına olay sayısına göre daha az kesintiye neden olur.
Office verileri toplama
Standart bağlayıcı verileri Microsoft Office veri toplamaya ihtiyacınız varsa aşağıdaki çözümlerden birini kullanın:
| Zorluk / Gereksinim | Olası çözümler | Dikkat edilmesi gerekenler |
|---|---|---|
| Teams, ileti izleme, kimlik avı verileri vb. verilerden ham verileri toplayın | yerleşik Office 365 bağlayıcısı işlevini kullanın ve ardından diğer ham veriler için özel bir bağlayıcı oluşturun. | Olayları ilgili RecordID ile eşlemek zor olabilir. |
| Ülkeleri, departmanları ve benzerlerini bölmek için RBAC gerektirir | Verilere etiketler ekleyerek ve gereken her ayrım için adanmış çalışma alanları oluşturarak veri koleksiyonunuzu özelleştirin. | Özel veri toplama, ek Alım maliyetlerine sahiptir. |
| Tek bir çalışma alanında birden çok kiracı gerektirir | Azure açık Thouse ve birleştirilmiş bir olay görünümü kullanarak veri koleksiyonunuzu özelleştirin. | Özel veri toplama, ek Alım maliyetlerine sahiptir. Daha fazla bilgi için bkz. çalışma alanları ve kiracılar üzerinde Microsoft Sentinel 'ı genişletme. |
Bulut platformu verileri
| Sınama/gereksinim | Olası çözümler | Dikkat edilmesi gerekenler |
|---|---|---|
| Günlükleri diğer platformlardan filtrele | Logstash kullanma Azure Izleyici Aracısı/Microsoft Izleme (Log Analytics) aracısını kullanma |
Özel koleksiyonda ek alım maliyetleri vardır. tüm Windows olaylarını ve yalnızca güvenlik olaylarını toplama konusunda bir zorluk yaşayabilirsiniz. |
| Aracı kullanılamıyor | Windows olay iletme kullan | Kaynaklarınızın tamamında Yük Dengeleme çalışmalarınızı yüklemeniz gerekebilir. |
| Sunucular Air-gapped Network | Log Analytics ağ geçidini kullanma | Bir proxy 'nin aracıya yapılandırılması için, ağ geçidinin çalışmasına izin vermek için güvenlik duvarı kuralları gerekir. |
| Alma sırasında RBAC, etiketleme ve zenginleştirme | Logstash veya Log Analytics API aracılığıyla özel koleksiyon oluşturun. | Özel tablolar için RBAC desteklenmez Satır düzeyi RBAC, hiçbir tablo için desteklenmez. |
Sonraki adımlar
Daha fazla bilgi için bkz.