Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä osiossa tarkastellaan parhaita käytäntöjä tietojen keräämiseksi Microsoft Sentinel tietoliittimien avulla. Lisätietoja on artikkelissa Tietolähteiden yhdistäminen, Microsoft Sentinel tietoyhdistimien viittaus ja Microsoft Sentinel ratkaisuluettelo.
Tietoyhdistimien priorisointi
Lue, miten voit priorisoida tietoyhdistimiä osana Microsoft Sentinel käyttöönottoprosessia.
Lokien suodattaminen ennen tietojen käsittely
Haluat ehkä suodattaa kerätyt lokit tai jopa kirjata sisältöä, ennen kuin tiedot käsitellään Microsoft Sentinel. Saatat esimerkiksi haluta suodattaa pois lokit, jotka ovat epäolennaisia tai epäolennaisia suojaustoiminnoille, tai haluat ehkä poistaa ei-toivotut tiedot lokiviesteistä. Viestin sisällön suodatuksesta voi olla hyötyä myös silloin, kun kustannuksia yritetään vähentää käsiteltäessä Syslog-, CEF- tai Windows-pohjaisia lokeja, joilla on monia epäolennaisia tietoja.
Suodata lokit jollakin seuraavista menetelmistä:
Azure monitoriagentti. Tuetaan sekä Windowsin että Linux Windowsin suojaustapahtumien käyttöön. Suodata kerätyt lokit määrittämällä agentti keräämään vain määritetyt tapahtumat.
Logstash. Tukee viestien sisällön suodatusta, mukaan lukien muutosten tekemistä lokiviesteihin. Lisätietoja on artikkelissa Yhteyden muodostaminen Logstash-tunnuksen avulla.
Tärkeää
Logstashin käyttäminen viestin sisällön suodattamiseen aiheuttaa sen, että lokeja käsitellään mukautettuina lokeina, jolloin kaikista vapaatason lokeista tulee maksullisia lokeja.
Mukautettuja lokeja on myös muokattava analytiikkasäännöillä, uhkien metsästyksellä ja työkirjoilla, koska niitä ei lisätä automaattisesti. Mukautettuja lokeja ei tueta tällä hetkellä myöskään automaattianalyysipalveluiden ominaisuuksille.
Vaihtoehtoiset tietojen käsittelyvaatimukset
Standard tietojen keräämisen määritys ei ehkä toimi hyvin organisaatiossasi erilaisten haasteiden vuoksi. Seuraavissa taulukoissa kuvataan yleisiä haasteita tai vaatimuksia sekä mahdollisia ratkaisuja ja huomioon otettavia seikkoja.
Huomautus
Monet seuraavissa osioissa luetellut ratkaisut edellyttävät mukautettua tietoyhdistintä. Lisätietoja on artikkelissa Mukautettujen liittimien Microsoft Sentinel luominen.
Paikallinen Windows-lokikokoelma
| Haaste ja vaatimus | Mahdolliset ratkaisut | Näkökohdat |
|---|---|---|
| Edellyttää lokisuodatusta | Logstash-tunnuksen käyttäminen Käytä Azure-funktiot LogicAppsin käyttäminen Käytä mukautettua koodia (.NET, Python) |
Vaikka suodattaminen voi aiheuttaa kustannussäästöjä ja käyttää vain tarvittavia tietoja, joitakin Microsoft Sentinel ominaisuuksia ei tueta, kuten UEBA, entiteettisivut, koneoppiminen ja fuusio. Kun määrität lokisuodatusta, tee päivityksiä resursseihin, kuten uhkien metsästyskyselyihin ja analytiikkasääntöihin. |
| Agenttia ei voi asentaa | Käytä Windowsin tapahtumien edelleenlähetystä, jota tuetaan Azure Monitor Agentin kanssa | Windowsin tapahtumien edelleenlähetys vähentää kuormituksen tasaustapahtumia sekunnissa Windows Event Collectorista 10 000 tapahtumasta 500–1000 tapahtumaan. |
| Palvelimet eivät muodosta internet-yhteyttä | Log Analytics -yhdyskäytävän käyttäminen | Välityspalvelimen määrittäminen agentille edellyttää ylimääräisiä palomuurisääntöjä, jotta yhdyskäytävä toimii. |
| Edellyttää merkitsemistä ja täydentämistä tietojen käsittelyhetkellä | Lisää ResourceID Logstash-tunnuksen avulla ARM-mallin käyttäminen ResourceID-tunnuksen lisäämiseen paikallisiin koneisiin Resurssitunnuksen käyttö erillisiin työtiloihin |
Log Analytics ei tue roolipohjaista käytönvalvontaa (RBAC) mukautetuissa taulukoissa. Microsoft Sentinel ei tue rivitason RBAC:tä. Vihje: haluat ehkä ottaa käyttöön työtilojen välisen suunnittelun ja toiminnot Microsoft Sentinel. |
| Edellyttää jakotoimintoa ja suojauslokeja | Microsoft Monitor Agentin tai Azure Monitor Agentin monikotitoimintojen käyttäminen | Monikotitoiminnot edellyttävät agentille enemmän käyttöönottokustannuksia. |
| Edellyttää mukautettuja lokeja | Kerää tiedostoja tietyistä kansiopoluista Ohjelmointirajapinnan käsittely PowerShellin käyttäminen Logstash-tunnuksen käyttäminen |
Lokien suodattamisessa saattaa olla ongelmia. Mukautettuja menetelmiä ei tueta. Mukautetut liittimet saattavat vaatia kehittäjän taitoja. |
Lokikokoelman paikallinen Linux
| Haaste ja vaatimus | Mahdolliset ratkaisut | Näkökohdat |
|---|---|---|
| Edellyttää lokisuodatusta | Syslog-NG:n käyttäminen Käytä Rsyslog-toimintoa FluentD-määrityksen käyttö agentille Azure Monitor Agentin tai Microsoftin valvonta-agentin käyttäminen Logstash-tunnuksen käyttäminen |
Agentti ei ehkä tue joitakin Linux jakeluja. Syslog- tai FluentD-toiminnon käyttäminen edellyttää kehittäjäosaamista. Lisätietoja on artikkelissa Windows-palvelimiin yhdistäminen suojaustapahtumien ja resurssien keräämiseksi mukautettujen Microsoft Sentinel liittimien luomista varten. |
| Agenttia ei voi asentaa | Käytä Syslog-edelleenlähetystoimintoa, kuten (syslog-ng tai rsyslog). | |
| Palvelimet eivät muodosta internet-yhteyttä | Log Analytics -yhdyskäytävän käyttäminen | Välityspalvelimen määrittäminen agentille edellyttää ylimääräisiä palomuurisääntöjä, jotta yhdyskäytävä toimii. |
| Edellyttää merkitsemistä ja täydentämistä tietojen käsittelyhetkellä | Käytä Logstash-toimintoa täydennykseen tai mukautettuja menetelmiä, kuten ohjelmointirajapintaa tai tapahtumatoimintoja. | Suodattamiseen tarvitaan ehkä lisätoimia. |
| Edellyttää jakotoimintoa ja suojauslokeja | Käytä Azure Monitor Agentia monisijoituksen määrityksen kanssa. | |
| Edellyttää mukautettuja lokeja | Luo mukautettu keräin Microsoft Monitoring (Log Analytics) -agentin avulla. |
Päätepisteratkaisut
Jos haluat kerätä lokeja päätepisteratkaisuista, kuten EDR:stä, muista suojaustapahtumista, Sysmonista ja niin edelleen, käytä jotakin seuraavista tavoista:
- Microsoft Defender XDR liittimellä voit kerätä lokeja Microsoft Defender for Endpoint. Tämä vaihtoehto aiheuttaa ylimääräisiä kustannuksia tietojen käsittelystä.
- Windowsin tapahtumien edelleenlähetys.
Huomautus
Kuormituksen tasaaminen vähentää tapahtumia sekunnissa, jotka voidaan käsitellä työtilaan.
Office-tiedot
Jos sinun on kerättävä Microsoft Office -tietoja liittimen vakiotietojen lisäksi, käytä jotakin seuraavista ratkaisuista:
| Haaste ja vaatimus | Mahdolliset ratkaisut | Näkökohdat |
|---|---|---|
| Kerää raakatietoja Teamsista, viestien jäljitys, tietojenkalastelutiedot ja niin edelleen | Käytä sisäänrakennettua Office 365 liitintoimintoa ja luo sitten mukautettu liitin muille raakatieduksille. | Tapahtumien yhdistäminen vastaavaan recordID:hen voi olla haastavaa. |
| Edellyttää RBAC:tä esimerkiksi maiden tai alueiden ja osastojen jakamiseen | Mukauta tiedonkeruuta lisäämällä tunnisteita tietoihin ja luomalla erilliset työtilat kullekin tarvitulle erottelulle. | Mukautetulla tietojen keräämisellä on ylimääräisiä käsittelykustannuksia. |
| Edellyttää useita vuokraajia yhdessä työtilassa | Mukauta tiedonkeruuta käyttämällä Azure LightHousea ja yhdistettyä tapausnäkymää. | Mukautetulla tietojen keräämisellä on ylimääräisiä käsittelykustannuksia. Lisätietoja on kohdassa Microsoft Sentinel laajentaminen työtiloissa ja vuokraajissa. |
Pilviympäristön tiedot
| Haaste ja vaatimus | Mahdolliset ratkaisut | Näkökohdat |
|---|---|---|
| Suodata lokit muista ympäristöistä | Logstash-tunnuksen käyttäminen käytä Azure Monitor Agent / Microsoft Monitoring (Log Analytics) -agenttia |
Mukautetulla kokoelmalla on ylimääräisiä käsittelykustannuksia. Sinulla saattaa olla haaste kerätä kaikki Windows-tapahtumat verrattuna vain suojaustapahtumiin. |
| Agenttia ei voi käyttää | Käytä Windowsin tapahtumien edelleenlähetystä | Saatat joutua tasapainottamaan resurssejasi. |
| Palvelimet ovat ilmakuidussa verkossa | Log Analytics -yhdyskäytävän käyttäminen | Välityspalvelimen määrittäminen agentille edellyttää palomuurisääntöjä, jotta yhdyskäytävä toimii. |
| RBAC, merkitseminen ja rikastaminen tietojen käsittelyhetkellä | Luo mukautettu kokoelma Logstashin tai Log Analytics -ohjelmointirajapinnan kautta. | RBAC:tä ei tueta mukautetuissa taulukoissa Rivitason RBAC:tä ei tueta missään taulukossa. |
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa: