Metodtips för datainsamling

  • Artikel

I det här avsnittet går vi igenom metodtips för att samla in data med hjälp av Microsoft Sentinel-dataanslutningar. Mer information finns i Ansluta datakällor, Referens för Microsoft Sentinel-dataanslutningar och Microsoft Sentinel-lösningskatalogen.

Prioritera dina dataanslutningar

Lär dig hur du prioriterar dina dataanslutningar som en del av Distributionsprocessen för Microsoft Sentinel.

Filtrera loggarna före inmatning

Du kanske vill filtrera de insamlade loggarna, eller till och med logga innehåll, innan data matas in i Microsoft Sentinel. Du kanske till exempel vill filtrera bort loggar som är irrelevanta eller oviktiga för säkerhetsåtgärder, eller ta bort oönskad information från loggmeddelanden. Att filtrera meddelandeinnehåll kan också vara användbart när du försöker sänka kostnaderna när du arbetar med Syslog, CEF eller Windows-baserade loggar som har många irrelevanta detaljer.

Filtrera loggarna med någon av följande metoder:

  • Azure Monitor-agenten. Stöds i både Windows och Linux för att mata in Windows-säkerhetshändelser. Filtrera loggarna som samlas in genom att konfigurera agenten så att endast angivna händelser samlas in.

  • Logstash. Stöder filtrering av meddelandeinnehåll, inklusive att göra ändringar i loggmeddelanden. Mer information finns i Ansluta med Logstash.

Viktigt!

Om du använder Logstash för att filtrera meddelandeinnehållet matas loggarna in som anpassade loggar, vilket gör att alla loggar på den kostnadsfria nivån blir loggar på betald nivå.

Anpassade loggar måste också bearbetas till analysregler, hotjakt och arbetsböcker, eftersom de inte läggs till automatiskt. Anpassade loggar stöds inte heller för närvarande för Maskininlärningsfunktioner .

Krav för alternativ datainmatning

Standardkonfigurationen för datainsamling kanske inte fungerar bra för din organisation på grund av olika utmaningar. I följande tabeller beskrivs vanliga utmaningar eller krav samt möjliga lösningar och överväganden.

Kommentar

Många lösningar som anges i följande avsnitt kräver en anpassad dataanslutning. Mer information finns i Resurser för att skapa anpassade Microsoft Sentinel-anslutningsappar.

Lokal Windows-loggsamling

Utmaning/krav Möjliga lösningar Att tänka på
Kräver loggfiltrering Använda Logstash

Använda Azure Functions

Använda LogicApps

Använda anpassad kod (.NET, Python)		 Filtrering kan leda till kostnadsbesparingar och mata in endast nödvändiga data, men vissa Microsoft Sentinel-funktioner stöds inte, till exempel UEBA, entitetssidor, maskininlärning och fusion.

När du konfigurerar loggfiltrering gör du uppdateringar i resurser som frågor om hotjakt och analysregler
Agenten kan inte installeras Använda Vidarebefordran av Windows-händelser som stöds med Azure Monitor-agenten Med vidarebefordran av Windows-händelser sänks belastningsutjämningshändelser per sekund från Windows-händelseinsamlaren, från 10 000 händelser till 500–1 000 händelser.
Servrar ansluter inte till Internet Använda Log Analytics-gatewayen För att konfigurera en proxy till din agent krävs extra brandväggsregler för att gatewayen ska fungera.
Kräver taggning och berikning vid inmatning Använda Logstash för att mata in ett ResourceID

Använd en ARM-mall för att mata in ResourceID på lokala datorer

Mata in resurs-ID:t i separata arbetsytor		 Log Analytics stöder inte RBAC för anpassade tabeller

Microsoft Sentinel stöder inte RBAC på radnivå

Tips: Du kanske vill använda design och funktioner för flera arbetsytor för Microsoft Sentinel.
Kräver delningsåtgärd och säkerhetsloggar Använda microsoft monitoragenten eller azure monitoragentens funktioner för flera hem Funktioner för flera hem kräver mer distributionskostnader för agenten.
Kräver anpassade loggar Samla in filer från specifika mappsökvägar

Använda API-inmatning

Använda PowerShell

Använda Logstash		 Du kan ha problem med att filtrera loggarna.

Anpassade metoder stöds inte.

Anpassade anslutningsappar kan kräva utvecklarkunskaper.

Lokal Linux-loggsamling

Utmaning/krav Möjliga lösningar Att tänka på
Kräver loggfiltrering Använda Syslog-NG

Använda Rsyslog

Använda FluentD-konfiguration för agenten

Använda Azure Monitor Agent/Microsoft Monitoring Agent

Använda Logstash		 Vissa Linux-distributioner kanske inte stöds av agenten.

Användning av Syslog eller FluentD kräver utvecklarkunskap.

Mer information finns i Ansluta till Windows-servrar för att samla in säkerhetshändelser och resurser för att skapa anpassade Microsoft Sentinel-anslutningsappar.
Agenten kan inte installeras Använd en Syslog-vidarebefordrare, till exempel (syslog-ng eller rsyslog.
Servrar ansluter inte till Internet Använda Log Analytics-gatewayen För att konfigurera en proxy till din agent krävs extra brandväggsregler för att gatewayen ska fungera.
Kräver taggning och berikning vid inmatning Använd Logstash för berikning eller anpassade metoder, till exempel API eller Event Hubs. Du kan ha extra arbete som krävs för filtrering.
Kräver delningsåtgärd och säkerhetsloggar Använd Azure Monitor-agenten med konfigurationen för flera värdar.
Kräver anpassade loggar Skapa en anpassad insamlare med hjälp av Microsoft Monitoring-agenten (Log Analytics).

Slutpunktslösningar

Om du behöver samla in loggar från slutpunktslösningar, till exempel EDR, andra säkerhetshändelser, Sysmon och så vidare, använder du någon av följande metoder:

  • Microsoft Defender XDR-anslutningsprogram för att samla in loggar från Microsoft Defender för Endpoint. Det här alternativet medför extra kostnader för datainmatningen.
  • Vidarebefordran av Windows-händelser.

Kommentar

Belastningsutjämning minskar antalet händelser per sekund som kan bearbetas till arbetsytan.

Office-data

Om du behöver samla in Microsoft Office-data, utanför standardanslutningsdata, använder du någon av följande lösningar:

Utmaning/krav Möjliga lösningar Att tänka på
Samla in rådata från Teams, meddelandespårning, nätfiskedata och så vidare Använd den inbyggda office 365-anslutningsfunktionen och skapa sedan en anpassad anslutningsapp för andra rådata. Det kan vara svårt att mappa händelser till motsvarande recordID.
Kräver RBAC för att dela upp länder/regioner, avdelningar och så vidare Anpassa din datainsamling genom att lägga till taggar i data och skapa dedikerade arbetsytor för varje separation som behövs. Anpassad datainsamling har extra inmatningskostnader.
Kräver flera klientorganisationer på en enda arbetsyta Anpassa din datainsamling med hjälp av Azure LightHouse och en enhetlig incidentvy. Anpassad datainsamling har extra inmatningskostnader.

Mer information finns i Utöka Microsoft Sentinel mellan arbetsytor och klientorganisationer.

Molnplattformsdata

Utmaning/krav Möjliga lösningar Att tänka på
Filtrera loggar från andra plattformar Använda Logstash

Använda Agenten för Azure Monitor/Microsoft Monitoring (Log Analytics)		 Anpassad samling har extra inmatningskostnader.

Du kan ha en utmaning att samla in alla Windows-händelser jämfört med endast säkerhetshändelser.
Agenten kan inte användas Använda Vidarebefordran av Windows-händelser Du kan behöva belastningsutjämning för dina resurser.
Servrarna finns i ett luftgapat nätverk Använda Log Analytics-gatewayen För att konfigurera en proxy till din agent krävs brandväggsregler för att gatewayen ska fungera.
RBAC, taggning och berikning vid inmatning Skapa anpassad samling via Logstash eller Log Analytics-API:et. RBAC stöds inte för anpassade tabeller

RBAC på radnivå stöds inte för några tabeller.

Nästa steg

Mer information finns i: