Megosztás a következőn keresztül:

Az adatgyűjtés ajánlott eljárásai

  • Cikk

Ez a szakasz a Microsoft Sentinel adatösszekötők használatával végzett adatgyűjtés ajánlott eljárásait ismerteti. További információ: Adatforrások csatlakoztatása, Microsoft Sentinel-adatösszekötők referenciája és a Microsoft Sentinel-megoldások katalógusa.

Az adatösszekötők rangsorolása

Megtudhatja, hogyan rangsorolhatja az adatösszekötőket a Microsoft Sentinel üzembe helyezési folyamatának részeként.

Naplók szűrése a betöltés előtt

Érdemes lehet szűrni az összegyűjtött naplókat, vagy akár naplótartalmakat is, mielőtt az adatokat betöltené a Microsoft Sentinelbe. Előfordulhat például, hogy ki szeretné szűrni a biztonsági műveletek szempontjából irreleváns vagy nem lényeges naplókat, vagy el szeretné távolítani a nem kívánt adatokat a naplóüzenetekből. Az üzenettartalmak szűrése akkor is hasznos lehet, ha olyan Syslog-, CEF- vagy Windows-alapú naplókkal dolgozik, amelyek sok irreleváns adatot tartalmaznak.

Szűrje a naplókat az alábbi módszerek egyikével:

  • Az Azure Monitor-ügynök. Windows és Linux rendszeren is támogatott a Windows biztonsági események betöltése. Szűrje az összegyűjtött naplókat úgy, hogy konfigurálja az ügynököt, hogy csak a megadott eseményeket gyűjtse össze.

  • Logstash. Támogatja az üzenettartalom szűrését, beleértve a naplóüzenetek módosítását is. További információ: Csatlakozás a Logstash szolgáltatással.

Fontos

Ha a Logstash segítségével szűri az üzenet tartalmát, a naplók egyéni naplókként lesznek betöltve, ami azt eredményezi, hogy az ingyenes szintű naplók fizetős szintű naplókká válnak.

Az egyéni naplókat elemzési szabályokkal, fenyegetéskereséssel és munkafüzetekkel is meg kell dolgozni, mivel azok nem lesznek automatikusan hozzáadva. Az egyéni naplók jelenleg nem támogatottak a Machine Learning képességeihez.

Alternatív adatbetöltési követelmények

A különböző kihívások miatt előfordulhat, hogy az adatgyűjtés szabványos konfigurációja nem működik megfelelően a szervezet számára. Az alábbi táblázatok a gyakori kihívásokat és követelményeket, valamint a lehetséges megoldásokat és szempontokat ismertetik.

Feljegyzés

Az alábbi szakaszokban felsorolt számos megoldáshoz egyéni adatösszekötő szükséges. További információ: Erőforrások a Microsoft Sentinel egyéni összekötőinek létrehozásához.

Helyszíni Windows-naplógyűjtés

Kihívás / követelmény Lehetséges megoldások Megfontolások
Naplószűrést igényel A Logstash használata

Az Azure Functions használata

A LogicApps használata

Egyéni kód használata (.NET, Python)		 Bár a szűrés költségmegtakarításhoz vezethet, és csak a szükséges adatokat használja fel, egyes Microsoft Sentinel-funkciók nem támogatottak, például az UEBA, az entitásoldalak, a gépi tanulás és a fúzió.

A naplószűrés konfigurálásakor végezze el a frissítéseket az erőforrásokban, például a fenyegetéskeresési lekérdezésekben és az elemzési szabályokban.
Az ügynök nem telepíthető Az Azure Monitor-ügynökkel támogatott Windows-eseménytovábbítás használata A Windows-eseménytovábbítással másodpercenként csökken a terheléselosztási események száma a Windows eseménygyűjtőtől, 10 000 eseménytől 500-1000 eseményig.
A kiszolgálók nem csatlakoznak az internethez A Log Analytics-átjáró használata Ha proxyt konfigurál az ügynökhöz, további tűzfalszabályokra van szükség az átjáró működéséhez.
Címkézést és bővítést igényel a betöltéskor ResourceID-azonosító beszúrása a Logstash használatával

Arm-sablon használata a ResourceID helyszíni gépekbe történő injektálásához

Az erőforrás-azonosító betöltése külön munkaterületekre		 A Log Analytics nem támogatja az egyéni táblák szerepköralapú hozzáférés-vezérlését (RBAC).

A Microsoft Sentinel nem támogatja a sorszintű RBAC-t.

Tipp: Előfordulhat, hogy munkaterületek közötti kialakítást és funkciókat szeretne alkalmazni a Microsoft Sentinelhez.
Felosztási műveletet és biztonsági naplókat igényel A Microsoft Monitor Agent vagy az Azure Monitor Agent multi-home funkció használata A több otthoni funkcióhoz több üzembe helyezési többletterhelés szükséges az ügynök számára.
Egyéni naplókra van szükség Fájlok gyűjtése adott mappaelérési utakról

API-betöltés használata

A PowerShell használata

A Logstash használata		 Előfordulhat, hogy problémái vannak a naplók szűrésével.

Az egyéni metódusok nem támogatottak.

Az egyéni összekötők fejlesztői készségeket igényelhetnek.

Helyszíni Linux-naplógyűjtemény

Kihívás / követelmény Lehetséges megoldások Megfontolások
Naplószűrést igényel A Syslog-NG használata

Az Rsyslog használata

FluentD-konfiguráció használata az ügynökhöz

Az Azure Monitor Agent/Microsoft Monitoring Agent használata

A Logstash használata		 Előfordulhat, hogy az ügynök nem támogatja bizonyos Linux-disztribúciókat.

A Syslog vagy a FluentD használatához fejlesztői ismeretekre van szükség.

További információ: Csatlakozás Windows-kiszolgálókhoz a Microsoft Sentinel egyéni összekötők létrehozásához szükséges biztonsági események és erőforrások gyűjtéséhez.
Az ügynök nem telepíthető Használjon syslog-továbbítót, például (syslog-ng vagy rsyslog).
A kiszolgálók nem csatlakoznak az internethez A Log Analytics-átjáró használata Ha proxyt konfigurál az ügynökhöz, további tűzfalszabályokra van szükség az átjáró működéséhez.
Címkézést és bővítést igényel a betöltéskor A Logstash használata bővítéshez vagy egyéni módszerekhez, például API-hoz vagy Event Hubshoz. Előfordulhat, hogy további erőfeszítésekre van szükség a szűréshez.
Felosztási műveletet és biztonsági naplókat igényel Használja az Azure Monitor-ügynököt a többhelyes konfigurációval.
Egyéni naplókra van szükség Hozzon létre egy egyéni gyűjtőt a Microsoft Monitoring (Log Analytics) ügynökkel.

Végpontmegoldások

Ha olyan végpontmegoldásokból kell naplókat gyűjtenie, mint az EDR, más biztonsági események, a Sysmon stb., használja az alábbi módszerek egyikét:

  • Microsoft Defender XDR-összekötő a naplók gyűjtéséhez Végponthoz készült Microsoft Defender. Ez a beállítás többletköltséggel jár az adatbetöltéshez.
  • Windows-eseménytovábbítás.

Feljegyzés

A terheléselosztás másodpercenként csökkenti a munkaterületen feldolgozható eseményeket.

Office-adatok

Ha Microsoft Office-adatokat kell gyűjtenie a szabványos összekötők adatain kívül, használja az alábbi megoldások egyikét:

Kihívás / követelmény Lehetséges megoldások Megfontolások
Nyers adatok gyűjtése a Teamsből, üzenetkövetés, adathalászati adatok stb. Használja a beépített Office 365-összekötő funkciót, majd hozzon létre egy egyéni összekötőt más nyers adatokhoz. Az eseményeknek a megfelelő recordID-hez való leképezése kihívást jelenthet.
RBAC-t igényel az országok/régiók, részlegek stb. felosztásához Az adatgyűjtés testreszabásához címkéket adhat hozzá az adatokhoz, és dedikált munkaterületeket hozhat létre minden szükséges elkülönítéshez. Az egyéni adatgyűjtés többletbetöltési költségekkel rendelkezik.
Több bérlőt igényel egy munkaterületen Az adatgyűjtés testreszabása az Azure LightHouse és egy egységes incidensnézet használatával. Az egyéni adatgyűjtés többletbetöltési költségekkel rendelkezik.

További információ: A Microsoft Sentinel kiterjesztése munkaterületekre és bérlőkre.

Felhőplatform-adatok

Kihívás / követelmény Lehetséges megoldások Megfontolások
Naplók szűrése más platformokról A Logstash használata

Az Azure Monitor Agent/Microsoft Monitoring (Log Analytics) ügynök használata		 Az egyéni gyűjtemény többletbetöltési költségekkel rendelkezik.

Előfordulhat, hogy kihívást jelent az összes Windows-esemény összegyűjtése és csak a biztonsági események összegyűjtése.
Az ügynök nem használható Windows-eseménytovábbítás használata Előfordulhat, hogy terheléselosztási erőfeszítéseket kell elvégeznie az erőforrások között.
A kiszolgálók légi hálózatban vannak A Log Analytics-átjáró használata Ha proxyt konfigurál az ügynökhöz, tűzfalszabályokra van szükség az átjáró működéséhez.
RBAC, címkézés és bővítés a betöltéskor Egyéni gyűjtemény létrehozása a Logstash vagy a Log Analytics API használatával. Az RBAC egyéni táblák esetében nem támogatott

A sorszintű RBAC táblákhoz nem támogatott.

Kapcsolódó tartalom

További információk: