Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I dette afsnit gennemgås de bedste fremgangsmåder til indsamling af data ved hjælp af Microsoft Sentinel dataconnectors. Du kan finde flere oplysninger under Opret forbindelse til datakilder, Microsoft Sentinel reference til dataconnectors og kataloget over Microsoft Sentinel løsninger.
Prioriter dine dataconnectors
Få mere at vide om, hvordan du prioriterer dine dataconnectors som en del af Microsoft Sentinel udrulningsprocessen.
Filtrer dine logge før indtagelse
Det kan være en god idé at filtrere de logfiler, der indsamles, eller endda logge indhold, før dataene indtages i Microsoft Sentinel. Det kan f.eks. være, at du vil filtrere logfiler, der er irrelevante eller ikke er vigtige for sikkerhedshandlinger, eller du vil måske fjerne uønskede oplysninger fra logfiler. Filtrering af meddelelsesindhold kan også være nyttigt, når du forsøger at reducere omkostningerne, når du arbejder med Syslog-, CEF- eller Windows-baserede logge, der har mange irrelevante oplysninger.
Filtrer dine logge ved hjælp af en af følgende metoder:
Azure-overvågningsagenten. Understøttes både på Windows og Linux til at indtage Windows-sikkerhedshændelser. Filtrer de logfiler, der indsamles, ved at konfigurere agenten til kun at indsamle angivne hændelser.
Logstash. Understøtter filtrering af meddelelsesindhold, herunder ændring af logmeddelelser. Du kan finde flere oplysninger under Opret forbindelse med Logstash.
Vigtigt!
Brug af Logstash til at filtrere dit meddelelsesindhold medfører, at dine logge indtages som brugerdefinerede logge, hvilket medfører, at alle logfiler på gratis niveau bliver til logfiler på betalingsniveau.
Brugerdefinerede logge skal også arbejdes med analyseregler, trusselsjagt og projektmapper, da de ikke tilføjes automatisk. Brugerdefinerede logge understøttes heller ikke i øjeblikket for Funktioner til maskinel indlæring .
Alternative krav til dataindtagelse
Standard konfiguration af dataindsamling fungerer muligvis ikke godt for din organisation på grund af forskellige udfordringer. I følgende tabeller beskrives almindelige udfordringer eller krav samt mulige løsninger og overvejelser.
Bemærk!
Mange løsninger, der er angivet i følgende afsnit, kræver en brugerdefineret dataconnector. Du kan få flere oplysninger under Ressourcer til oprettelse af Microsoft Sentinel brugerdefinerede connectors.
Windows-logsamling i det lokale miljø
| Udfordring/krav | Mulige løsninger | Overvejelser |
|---|---|---|
| Kræver logfiltrering | Brug Logstash Brug Azure Functions Brug LogicApps Brug brugerdefineret kode (.NET, Python) |
Selvom filtrering kan føre til omkostningsbesparelser, og det kun er de påkrævede data, der anvendes, understøttes nogle Microsoft Sentinel funktioner ikke, f.eks. UEBA, enhedssider, maskinel indlæring og fusion. Når du konfigurerer logfiltrering, skal du foretage opdateringer i ressourcer, f.eks. forespørgsler om trusselssøgning og analyseregler. |
| Agenten kan ikke installeres | Brug Windows Event Forwarding, der understøttes sammen med Azure Monitor Agent | Hvis du bruger viderestilling af Windows-hændelse, sænkes belastningsjusteringshændelser pr. sekund fra Windows Event Collector fra 10.000 hændelser til 500-1000 hændelser. |
| Servere opretter ikke forbindelse til internettet | Brug Log Analytics-gatewayen | Konfiguration af en proxy til din agent kræver ekstra firewallregler, for at gatewayen kan fungere. |
| Kræver mærkning og berigelse ved indtagelse | Brug Logstash til at indsætte et ResourceID Brug en ARM-skabelon til at indsætte ResourceID på computere i det lokale miljø Indfødning af ressource-id'et i separate arbejdsområder |
Log Analytics understøtter ikke rollebaseret adgangskontrol (RBAC) for brugerdefinerede tabeller. Microsoft Sentinel understøtter ikke RBAC på rækkeniveau. Tip! Det kan være en god idé at anvende design og funktionalitet på tværs af arbejdsområder for Microsoft Sentinel. |
| Kræver opdelingshandling og sikkerhedslogge | Brug Funktionen Microsoft Monitor Agent eller Azure Monitor Agent til flere hjem | Multi-home-funktionalitet kræver mere udrulningsspild for agenten. |
| Kræver brugerdefinerede logge | Indsaml filer fra bestemte mappestier Brug API-indtagelse Brug PowerShell Brug Logstash |
Du kan have problemer med at filtrere dine logge. Brugerdefinerede metoder understøttes ikke. Brugerdefinerede connectors kan kræve udviklerfærdigheder. |
Logsamling i det lokale miljø Linux
| Udfordring/krav | Mulige løsninger | Overvejelser |
|---|---|---|
| Kræver logfiltrering | Brug Syslog-NG Brug Rsyslog Brug FluentD-konfigurationen for agenten Brug Azure Monitor Agent/Microsoft Monitoring Agent Brug Logstash |
Nogle Linux distributioner understøttes muligvis ikke af agenten. Brug af Syslog eller FluentD kræver udviklerviden. Du kan finde flere oplysninger under Opret forbindelse til Windows-servere for at indsamle sikkerhedshændelser og ressourcer til oprettelse af Microsoft Sentinel brugerdefinerede connectors. |
| Agenten kan ikke installeres | Brug en Syslog-videresender, f.eks. (syslog-ng eller rsyslog. | |
| Servere opretter ikke forbindelse til internettet | Brug Log Analytics-gatewayen | Konfiguration af en proxy til din agent kræver ekstra firewallregler, for at gatewayen kan fungere. |
| Kræver mærkning og berigelse ved indtagelse | Brug Logstash til berigelse eller brugerdefinerede metoder, f.eks. API eller Event Hubs. | Du skal muligvis gøre en ekstra indsats for at filtrere. |
| Kræver opdelingshandling og sikkerhedslogge | Brug Azure Monitor Agent med konfigurationen af multi-homing. | |
| Kræver brugerdefinerede logge | Opret en brugerdefineret samler ved hjælp af Agenten til Microsoft-overvågning (Log Analytics). |
Slutpunktsløsninger
Hvis du har brug for at indsamle logge fra Slutpunktsløsninger, f.eks. EDR, andre sikkerhedshændelser, Sysmon osv., skal du bruge en af følgende metoder:
- Microsoft Defender XDR connector til at indsamle logge fra Microsoft Defender for Endpoint. Denne indstilling medfører ekstra omkostninger ved dataindtagelse.
- Videresendelse af Windows-hændelse.
Bemærk!
Justering af belastning skærer ned på hændelser pr. sekund, der kan behandles i arbejdsområdet.
Office-data
Hvis du har brug for at indsamle Microsoft Office-data uden for standardconnectordataene, skal du bruge en af følgende løsninger:
| Udfordring/krav | Mulige løsninger | Overvejelser |
|---|---|---|
| Indsaml rådata fra Teams, sporing af meddelelser, phishing-data osv. | Brug den indbyggede Office 365 connectorfunktionalitet, og opret derefter en brugerdefineret connector til andre rådata. | Det kan være en udfordring at knytte hændelser til det tilsvarende recordID. |
| Kræver RBAC til opdeling af lande/områder, afdelinger osv. | Tilpas din dataindsamling ved at føje mærker til data og oprette dedikerede arbejdsområder for hver nødvendige adskillelse. | Brugerdefineret dataindsamling har ekstra omkostninger til indtagelse. |
| Kræver flere lejere i et enkelt arbejdsområde | Tilpas din dataindsamling ved hjælp af Azure LightHouse og en samlet hændelsesvisning. | Brugerdefineret dataindsamling har ekstra omkostninger til indtagelse. Du kan få flere oplysninger under Udvid Microsoft Sentinel på tværs af arbejdsområder og lejere. |
Data fra cloudplatformen
| Udfordring/krav | Mulige løsninger | Overvejelser |
|---|---|---|
| Filtrer logge fra andre platforme | Brug Logstash Brug Azure Monitor Agent/Microsoft Monitoring (Log Analytics) agent |
Brugerdefineret samling har ekstra omkostninger til indtagelse. Du kan have en udfordring om at indsamle alle Windows-hændelser i forhold til kun sikkerhedshændelser. |
| Agenten kan ikke bruges | Brug windows-hændelses videresendelse | Du skal muligvis udføre belastningsjustering på tværs af dine ressourcer. |
| Serverne er i et netværk, hvor der er luftforskydning | Brug Log Analytics-gatewayen | Konfiguration af en proxy til din agent kræver firewallregler, for at gatewayen kan fungere. |
| RBAC, mærkning og berigelse ved indtagelse | Opret brugerdefineret samling via Logstash eller Log Analytics-API'en. | RBAC understøttes ikke for brugerdefinerede tabeller RBAC på rækkeniveau understøttes ikke for nogen tabeller. |
Relateret indhold
Du kan finde flere oplysninger under: