資料收集最佳做法
本節將檢閱使用 Microsoft Sentinel 資料連接器收集資料的最佳做法。 如需詳細資訊,請參閱連接資料來源、Microsoft Sentinel 資料連接器參考和 Microsoft Sentinel 解決方案目錄。
設定資料連接器的優先順序
了解如何在 Microsoft Sentinel 部署過程中排定資料連接器的優先順序。
擷取之前先篩選記錄
您可能想要先篩選收集的記錄,或甚至是記錄內容,再將資料擷取到 Microsoft Sentinel 中。 例如,您可能想要篩選出對安全性作業無關或不重要的記錄,或者您可能想要從記錄訊息中移除不想要的詳細資料。 若使用具有許多不相關詳細資料的 Syslog、CEF 或 Windows 記錄,篩選訊息內容對於嘗試降低成本可能也很有幫助。
使用下列其中一種方法來篩選您的記錄:
Azure 監視器代理程式。 Windows 和 Linux 上都支援擷取 Windows 安全性事件。 設定代理程式只收集指定的事件,以篩選所收集的記錄。
Logstash. 支援篩選訊息內容,包括對記錄訊息進行變更。 如需詳細資訊,請參閱與 Logstash 連線。
重要
使用 Logstash 篩選訊息內容會導致將記錄當做自訂記錄來擷取,使得任何免費層記錄變成付費層記錄。
自訂記錄也需要加入分析規則、威脅搜捕和活頁簿,因為這些項目不會自動新增。 Machine Learning 功能目前也不支援自訂記錄。
替代資料擷取需求
資料收集的標準設定可能會由於各項挑戰而不適用於您的組織。 下表描述常見的挑戰或需求,以及可能的解決方案和考量。
注意
下列章節中列出的許多解決方案都需要自訂資料連接器。 如需詳細資訊,請參閱建立 Microsoft Sentinel 自訂連接器的資源。
內部部署 Windows 記錄收集
| 挑戰/需求 | 可能的解決方案 | 考量 |
|---|---|---|
| 需要記錄篩選 | 使用 Logstash 使用 Azure Functions 使用 LogicApps 使用自訂程式碼 (.NET、Python) |
雖然篩選可能會導致節省成本並只擷取必要的資料,但不支援某些 Microsoft Sentinel 功能,例如 UEBA、實體頁面、機器學習和融合。 設定記錄篩選時,請在資源中進行更新,例如威脅搜捕查詢和分析規則 |
| 無法安裝代理程式 | 使用 Azure 監視器代理程式支援的 Windows 事件轉送 | 使用 Windows 事件轉送可將 Windows 事件收集器每秒的負載平衡事件,從 10,000 個事件降低為 500-1000 個事件。 |
| 伺服器無法連線到網際網路 | 使用 Log Analytics 閘道 | 設定代理程式的 Proxy 需要額外的防火牆規則,以允許閘道運作。 |
| 擷取時需要標記和擴充 | 使用 Logstash 插入 ResourceID 使用 ARM 範本將 ResourceID 插入內部部署電腦 將資源識別碼擷取到不同的工作區中 |
Log Analytics 不支援自訂資料表的 RBAC Microsoft Sentinel 不支援資料列層級 RBAC 提示:您可能想要針對 Microsoft Sentinel 採用跨工作區設計和功能。 |
| 需要分割作業和安全性記錄檔 | 使用 Microsoft Monitoring Agent 或 Azure 監視器代理程式多重主目錄功能 | 多重主目錄功能需要代理程式的更多部署額外負荷。 |
| 需要自訂記錄 | 從特定資料夾路徑收集檔案 使用 API 擷取 使用 PowerShell 使用 Logstash |
您可能會在篩選記錄時發生問題。 不支援自訂方法。 自訂連接器可能需要開發人員技能。 |
內部部署 Linux 記錄收集
| 挑戰/需求 | 可能的解決方案 | 考量 |
|---|---|---|
| 需要記錄篩選 | 使用 Syslog-NG 使用 Rsyslog 針對代理程式使用 FluentD 設定 使用 Azure 監視器代理程式/Microsoft Monitoring Agent 使用 Logstash |
代理程式可能不支援某些 Linux 發行版本。 使用 Syslog 或 FluentD 需要開發人員知識。 如需詳細資訊,請參閱連線到 Windows 伺服器以收集安全性事件和用於建立 Microsoft Sentinel 自訂連接器的資源。 |
| 無法安裝代理程式 | 使用 Syslog 轉寄站,例如 syslog-ng 或 rsyslog。 | |
| 伺服器無法連線到網際網路 | 使用 Log Analytics 閘道 | 設定代理程式的 Proxy 需要額外的防火牆規則,以允許閘道運作。 |
| 擷取時需要標記和擴充 | 使用 Logstash 進行擴充,或是自訂方法 (例如 API 或事件中樞)。 | 您可能需要額外的工作進行篩選。 |
| 需要分割作業和安全性記錄檔 | 使用具有多路連接設定的 Azure 監視器代理程式。 | |
| 需要自訂記錄 | 使用 Microsoft Monitoring Agent (Log Analytics 代理程式) 建立自訂收集器。 |
端點解決方案
如果您需要從端點解決方案收集記錄 (例如 EDR、其他安全性事件、Sysmon 等),請使用下列其中一種方法:
- Microsoft Defender 全面偵測回應連接器,可從適用於端點的 Microsoft Defender 收集記錄。 此選項會產生額外的資料擷取成本。
- Windows 事件轉送。
注意
負載平衡會減少每秒可處理至工作區的事件數目。
Office 資料
如果除了標準連接器資料,還需要收集 Microsoft Office 資料,請使用下列其中一個解決方案:
| 挑戰/需求 | 可能的解決方案 | 考量 |
|---|---|---|
| 從 Teams、郵件追蹤、網路釣魚資料等收集未經處理資料 | 使用內建 Office 365 連接器功能,然後為其他未經處理資料建立自訂連接器。 | 將事件對應至對應的 recordID 可能是項挑戰。 |
| 需要 RBAC 以分割國家/地區、部門等 | 將標籤新增至資料,並針對每個所需的分隔建立專用工作區,以自訂資料收集。 | 自訂資料收集有額外的擷取成本。 |
| 在單一工作區中需要多個租用戶 | 使用 Azure Lighthouse 和整合事件檢視來自訂資料收集。 | 自訂資料收集有額外的擷取成本。 如需詳細資訊,請參閱跨工作區和租用戶擴充 Microsoft Sentinel。 |
雲端平台資料
| 挑戰/需求 | 可能的解決方案 | 考量 |
|---|---|---|
| 篩選來自其他平台的記錄 | 使用 Logstash 使用 Azure 監視器代理程式/Microsoft Monitoring Agent (Log Analytics 代理程式) |
自訂收集有額外的擷取成本。 相較於只收集安全性事件,收集所有 Windows 事件可能會為您帶來挑戰。 |
| 無法使用代理程式 | 使用 Windows 事件轉送 | 您可能需要在資源之間進行負載平衡。 |
| 伺服器位於實體隔離斷網網路 | 使用 Log Analytics 閘道 | 設定代理程式的 Proxy 需要防火牆規則,以允許閘道運作。 |
| 擷取時的 RBAC、標記和擴充 | 建立透過 Logstash 或 Log Analytics API 的自訂收集。 | 自訂資料表不支援 RBAC 任何資料表都不支援資料列層級 RBAC。 |
下一步
如需詳細資訊,請參閱