Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta sección se revisan los procedimientos recomendados para recopilar datos mediante conectores de datos Microsoft Sentinel. Para obtener más información, consulte Conexión de orígenes de datos, Microsoft Sentinel referencia de conectores de datos y el catálogo de soluciones de Microsoft Sentinel.
Priorizar los conectores de datos
Obtenga información sobre cómo priorizar los conectores de datos como parte del proceso de implementación de Microsoft Sentinel.
Filtrar los registros antes de la ingesta
Es posible que quiera filtrar los registros recopilados, o incluso el contenido del registro, antes de que los datos se ingieren en Microsoft Sentinel. Por ejemplo, es posible que quiera filtrar los registros que son irrelevantes o que no son importantes para las operaciones de seguridad, o es posible que desee quitar los detalles no deseados de los mensajes de registro. El filtrado del contenido del mensaje también puede ser útil al intentar reducir los costos al trabajar con registros basados en Syslog, CEF o Windows que tienen muchos detalles irrelevantes.
Filtre los registros mediante uno de los métodos siguientes:
Agente de Azure Monitor. Se admite tanto en Windows como en Linux para ingerir eventos de seguridad de Windows. Filtre los registros recopilados configurando el agente para recopilar solo los eventos especificados.
Logstash. Admite el filtrado del contenido del mensaje, incluidos los cambios realizados en los mensajes de registro. Para obtener más información, consulte Conexión con Logstash.
Importante
El uso de Logstash para filtrar el contenido del mensaje hará que los registros se ingieren como registros personalizados, lo que hará que los registros de nivel libre se conviertan en registros de nivel de pago.
Los registros personalizados también deben trabajarse en reglas de análisis, búsqueda de amenazas y libros, ya que no se agregan automáticamente. Los registros personalizados tampoco se admiten actualmente para las funcionalidades de Machine Learning .
Requisitos de ingesta de datos alternativos
Standard configuración de la recopilación de datos podría no funcionar bien para su organización, debido a varios desafíos. En las tablas siguientes se describen los desafíos o requisitos comunes y las posibles soluciones y consideraciones.
Nota:
Muchas soluciones enumeradas en las secciones siguientes requieren un conector de datos personalizado. Para obtener más información, vea Recursos para crear Microsoft Sentinel conectores personalizados.
Recopilación de registros de Windows local
| Desafío o requisito | Posibles soluciones | Consideraciones |
|---|---|---|
| Requiere filtrado de registros | Uso de Logstash Usar Azure Functions Uso de LogicApps Uso de código personalizado (.NET, Python) |
Aunque el filtrado puede provocar un ahorro de costos e ingerir solo los datos necesarios, no se admiten algunas características Microsoft Sentinel, como UEBA, páginas de entidad, aprendizaje automático y fusión. Al configurar el filtrado de registros, realice actualizaciones en recursos como consultas de búsqueda de amenazas y reglas de análisis. |
| No se puede instalar el agente | Uso del reenvío de eventos de Windows, compatible con el agente de supervisión de Azure | El uso del reenvío de eventos de Windows reduce los eventos de equilibrio de carga por segundo desde el Recopilador de eventos de Windows, de 10 000 eventos a 500-1000 eventos. |
| Los servidores no se conectan a Internet | Uso de la puerta de enlace de Log Analytics | La configuración de un proxy para el agente requiere reglas de firewall adicionales para permitir que la puerta de enlace funcione. |
| Requiere etiquetado y enriquecimiento en la ingesta | Uso de Logstash para insertar un ResourceID Uso de una plantilla de ARM para insertar ResourceID en máquinas locales Ingerir el identificador de recurso en áreas de trabajo independientes |
Log Analytics no admite el control de acceso basado en rol (RBAC) para tablas personalizadas. Microsoft Sentinel no admite RBAC de nivel de fila. Sugerencia: Es posible que quiera adoptar el diseño y la funcionalidad entre áreas de trabajo para Microsoft Sentinel. |
| Requiere la división de registros de seguridad y operación | Uso de la funcionalidad multiinquilino del agente de Microsoft Monitor o del agente de Azure Monitor | La funcionalidad multiinquilino requiere más sobrecarga de implementación para el agente. |
| Requiere registros personalizados | Recopilación de archivos de rutas de acceso de carpeta específicas Uso de la ingesta de API Usar PowerShell Uso de Logstash |
Es posible que tenga problemas para filtrar los registros. No se admiten métodos personalizados. Los conectores personalizados pueden requerir aptitudes para desarrolladores. |
Recopilación de registros de Linux local
| Desafío o requisito | Posibles soluciones | Consideraciones |
|---|---|---|
| Requiere filtrado de registros | Uso de Syslog-NG Uso de Rsyslog Uso de la configuración de FluentD para el agente Uso de Azure Monitor Agent/Microsoft Monitoring Agent Uso de Logstash |
Es posible que el agente no admita algunas distribuciones de Linux. El uso de Syslog o FluentD requiere conocimientos del desarrollador. Para obtener más información, vea Conectarse a servidores Windows para recopilar eventos de seguridad y recursos para crear Microsoft Sentinel conectores personalizados. |
| No se puede instalar el agente | Use un reenviador de Syslog, como (syslog-ng o rsyslog. | |
| Los servidores no se conectan a Internet | Uso de la puerta de enlace de Log Analytics | La configuración de un proxy para el agente requiere reglas de firewall adicionales para permitir que la puerta de enlace funcione. |
| Requiere etiquetado y enriquecimiento en la ingesta | Use Logstash para el enriquecimiento o métodos personalizados, como API o Event Hubs. | Es posible que tenga que realizar un esfuerzo adicional para el filtrado. |
| Requiere la división de registros de seguridad y operación | Use el agente de Azure Monitor con la configuración de hospedaje múltiple. | |
| Requiere registros personalizados | Cree un recopilador personalizado mediante el agente de Supervisión de Microsoft (Log Analytics). |
Soluciones de punto de conexión
Si necesita recopilar registros de soluciones de punto de conexión, como EDR, otros eventos de seguridad, Sysmon, etc., use uno de los métodos siguientes:
- Microsoft Defender XDR conector para recopilar registros de Microsoft Defender para punto de conexión. Esta opción incurre en costos adicionales para la ingesta de datos.
- Reenvío de eventos de Windows.
Nota:
El equilibrio de carga reduce los eventos por segundo que se pueden procesar en el área de trabajo.
Datos de Office
Si necesita recopilar datos de Microsoft Office, fuera de los datos estándar del conector, use una de las siguientes soluciones:
| Desafío o requisito | Posibles soluciones | Consideraciones |
|---|---|---|
| Recopilación de datos sin procesar de Teams, seguimiento de mensajes, datos de suplantación de identidad, etc. | Use la funcionalidad integrada del conector de Office 365 y, a continuación, cree un conector personalizado para otros datos sin procesar. | La asignación de eventos al recordID correspondiente podría ser un desafío. |
| Requiere RBAC para dividir países o regiones, departamentos, etc. | Personalice la recopilación de datos agregando etiquetas a los datos y creando áreas de trabajo dedicadas para cada separación necesaria. | La recopilación de datos personalizada tiene costos de ingesta adicionales. |
| Requiere varios inquilinos en un único área de trabajo | Personalice la recopilación de datos con Azure LightHouse y una vista unificada de incidentes. | La recopilación de datos personalizada tiene costos de ingesta adicionales. Para obtener más información, vea Extender Microsoft Sentinel entre áreas de trabajo e inquilinos. |
Datos de la plataforma en la nube
| Desafío o requisito | Posibles soluciones | Consideraciones |
|---|---|---|
| Filtrado de registros de otras plataformas | Uso de Logstash Uso del agente de Azure Monitor o del agente de supervisión de Microsoft (Log Analytics) |
La recopilación personalizada tiene costos de ingesta adicionales. Es posible que tengas el desafío de recopilar todos los eventos de Windows frente solo a los eventos de seguridad. |
| No se puede usar el agente | Uso del reenvío de eventos de Windows | Es posible que tenga que equilibrar la carga de los esfuerzos entre los recursos. |
| Los servidores están en una red de conexión por aire | Uso de la puerta de enlace de Log Analytics | La configuración de un proxy para el agente requiere reglas de firewall para permitir que la puerta de enlace funcione. |
| RBAC, etiquetado y enriquecimiento en la ingesta | Cree una colección personalizada a través de Logstash o la API de Log Analytics. | RBAC no se admite para tablas personalizadas RBAC de nivel de fila no se admite para ninguna tabla. |
Contenido relacionado
Para más información, vea: