Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette section passe en revue les meilleures pratiques pour la collecte de données à l’aide de connecteurs de données Microsoft Sentinel. Pour plus d’informations, consultez Connecter des sources de données, Microsoft Sentinel informations de référence sur les connecteurs de données et le catalogue de solutions Microsoft Sentinel.
Hiérarchiser vos connecteurs de données
Découvrez comment hiérarchiser vos connecteurs de données dans le cadre du processus de déploiement Microsoft Sentinel.
Filtrer vos journaux avant l’ingestion
Vous pouvez filtrer les journaux collectés, ou même le contenu des journaux, avant que les données ne soient ingérées dans Microsoft Sentinel. Par exemple, vous souhaiterez peut-être filtrer les journaux qui ne sont pas pertinents ou qui n’ont pas d’importance pour les opérations de sécurité, ou supprimer les détails indésirables des messages de journal. Le filtrage du contenu des messages peut également être utile lorsque vous essayez de réduire les coûts lors de l’utilisation de Syslog, CEF ou des journaux Windows qui ont de nombreux détails non pertinents.
Filtrez vos journaux à l’aide de l’une des méthodes suivantes :
Agent Azure Monitor. Pris en charge sur Windows et Linux pour ingérer des événements de sécurité Windows. Filtrez les journaux collectés en configurant l’agent pour collecter uniquement les événements spécifiés.
Logstash. Prend en charge le filtrage du contenu des messages, y compris l’apport de modifications aux messages de journal. Pour plus d’informations, consultez Se connecter avec Logstash.
Importante
L’utilisation de Logstash pour filtrer le contenu de votre message entraîne l’ingestion de vos journaux d’activité en tant que journaux personnalisés, ce qui fait que tous les journaux de niveau gratuit deviennent des journaux de niveau payant.
Les journaux personnalisés doivent également être utilisés dans les règles d’analyse, la chasse aux menaces et les classeurs, car ils ne sont pas ajoutés automatiquement. Les journaux personnalisés ne sont pas non plus pris en charge actuellement pour les fonctionnalités de Machine Learning .
Autres exigences d’ingestion des données
Standard configuration de la collecte de données peut ne pas fonctionner correctement pour votre organization, en raison de divers défis. Les tableaux suivants décrivent les défis ou exigences courants, ainsi que les solutions et considérations possibles.
Remarque
De nombreuses solutions répertoriées dans les sections suivantes nécessitent un connecteur de données personnalisé. Pour plus d’informations, consultez Ressources pour la création de connecteurs personnalisés Microsoft Sentinel.
Collecte de journaux Windows locale
| Défi/ Exigence | Solutions possibles | Considérations |
|---|---|---|
| Nécessite un filtrage des journaux | Utiliser Logstash Utilisation d’Azure Functions Utiliser LogicApps Utiliser du code personnalisé (.NET, Python) |
Bien que le filtrage puisse entraîner des économies et ingérer uniquement les données requises, certaines fonctionnalités Microsoft Sentinel ne sont pas prises en charge, telles que UEBA, les pages d’entités, le Machine Learning et la fusion. Lors de la configuration du filtrage des journaux, effectuez des mises à jour dans les ressources telles que les requêtes de chasse aux menaces et les règles d’analyse. |
| Impossible d’installer l’agent | Utiliser le transfert d’événements Windows, pris en charge avec l’agent Azure Monitor | L’utilisation du transfert d’événements Windows réduit les événements d’équilibrage de charge par seconde à partir du Collecteur d’événements Windows, de 10 000 événements à 500 à 1 000 événements. |
| Les serveurs ne se connectent pas à Internet | Utiliser la passerelle Log Analytics | La configuration d’un proxy pour votre agent nécessite des règles de pare-feu supplémentaires pour permettre à la passerelle de fonctionner. |
| Nécessite l’étiquetage et l’enrichissement lors de l’ingestion | Utiliser Logstash pour injecter un ResourceID Utiliser un modèle ARM pour injecter le ResourceID dans des machines locales Ingérer l’ID de ressource dans des espaces de travail distincts |
Log Analytics ne prend pas en charge le contrôle d’accès en fonction du rôle (RBAC) pour les tables personnalisées. Microsoft Sentinel ne prend pas en charge le RBAC au niveau des lignes. Conseil : Vous souhaiterez peut-être adopter la conception et les fonctionnalités inter-espaces de travail pour Microsoft Sentinel. |
| Nécessite le fractionnement des journaux d’activité des opérations et de sécurité | Utiliser l’agent Microsoft Monitor ou la fonctionnalité multi-accueil de l’agent Azure Monitor | La fonctionnalité multi-accueil nécessite davantage de surcharge de déploiement pour l’agent. |
| Nécessite des journaux personnalisés | Collecter des fichiers à partir de chemins d’accès de dossiers spécifiques Utiliser l’ingestion d’API Utiliser PowerShell Utiliser Logstash |
Vous pouvez rencontrer des problèmes de filtrage de vos journaux. Les méthodes personnalisées ne sont pas prises en charge. Les connecteurs personnalisés peuvent nécessiter des compétences de développeur. |
Collecte de journaux Linux locale
| Défi/ Exigence | Solutions possibles | Considérations |
|---|---|---|
| Nécessite un filtrage des journaux | Utiliser Syslog-NG Utiliser Rsyslog Utiliser la configuration FluentD pour l’agent Utiliser l’agent Azure Monitor/Microsoft Monitoring Agent Utiliser Logstash |
Certaines distributions Linux peuvent ne pas être prises en charge par l’agent. L’utilisation de Syslog ou FluentD nécessite des connaissances de développeur. Pour plus d’informations, consultez Se connecter à des serveurs Windows pour collecter des événements de sécurité et Ressources pour créer Microsoft Sentinel connecteurs personnalisés. |
| Impossible d’installer l’agent | Utilisez un redirecteur Syslog, tel que (syslog-ng ou rsyslog. | |
| Les serveurs ne se connectent pas à Internet | Utiliser la passerelle Log Analytics | La configuration d’un proxy pour votre agent nécessite des règles de pare-feu supplémentaires pour permettre à la passerelle de fonctionner. |
| Nécessite l’étiquetage et l’enrichissement lors de l’ingestion | Utilisez Logstash pour l’enrichissement ou des méthodes personnalisées, telles que l’API ou Event Hubs. | Un effort supplémentaire peut être nécessaire pour le filtrage. |
| Nécessite le fractionnement des journaux d’activité des opérations et de sécurité | Utilisez l’agent Azure Monitor avec la configuration multihébergement. | |
| Nécessite des journaux personnalisés | Créez un collecteur personnalisé à l’aide de l’agent Microsoft Monitoring (Log Analytics). |
Solutions de point de terminaison
Si vous avez besoin de collecter des journaux à partir de solutions de point de terminaison, telles que EDR, d’autres événements de sécurité, Sysmon, et ainsi de suite, utilisez l’une des méthodes suivantes :
- Microsoft Defender XDR connecteur pour collecter les journaux d’Microsoft Defender pour point de terminaison. Cette option entraîne des coûts supplémentaires pour l’ingestion des données.
- Transfert d’événements Windows.
Remarque
L’équilibrage de charge réduit les événements par seconde qui peuvent être traités dans l’espace de travail.
Données Office
Si vous avez besoin de collecter des données Microsoft Office, en dehors des données de connecteur standard, utilisez l’une des solutions suivantes :
| Défi/ Exigence | Solutions possibles | Considérations |
|---|---|---|
| Collecter des données brutes à partir de Teams, le suivi des messages, les données d’hameçonnage, et ainsi de suite | Utilisez la fonctionnalité de connecteur de Office 365 intégrée, puis créez un connecteur personnalisé pour d’autres données brutes. | Le mappage d’événements à l’id d’enregistrement correspondant peut être difficile. |
| Nécessite le contrôle d’accès en fonction du rôle (RBAC) pour le fractionnement des pays/régions, des services, et ainsi de suite | Personnalisez votre collection de données en ajoutant des balises aux données et en créant des espaces de travail dédiés pour chaque séparation nécessaire. | La collecte de données personnalisées entraîne des coûts d’ingestion supplémentaires. |
| Nécessite plusieurs locataires dans un même espace de travail | Personnalisez votre collecte de données à l’aide de Azure LightHouse et d’une vue unifiée des incidents. | La collecte de données personnalisées entraîne des coûts d’ingestion supplémentaires. Pour plus d’informations, consultez Étendre Microsoft Sentinel entre espaces de travail et locataires. |
Données de plateforme cloud
| Défi/ Exigence | Solutions possibles | Considérations |
|---|---|---|
| Filtrer les journaux à partir d’autres plateformes | Utiliser Logstash Utiliser l’agent Azure Monitor /Microsoft Monitoring (Log Analytics) |
La collecte personnalisée entraîne des coûts d’ingestion supplémentaires. Vous pouvez avoir un défi de collecter tous les événements Windows par rapport aux événements de sécurité uniquement. |
| Impossible d’utiliser l’agent | Utiliser le transfert d’événements Windows | Vous devrez peut-être équilibrer les efforts de charge entre vos ressources. |
| Les serveurs sont dans un réseau à air-bâillonné | Utiliser la passerelle Log Analytics | La configuration d’un proxy pour votre agent nécessite des règles de pare-feu pour permettre à la passerelle de fonctionner. |
| RBAC, étiquetage et enrichissement lors de l’ingestion | Créez une collection personnalisée via Logstash ou l’API Log Analytics. | RBAC n’est pas pris en charge pour les tables personnalisées Le RBAC au niveau des lignes n’est pris en charge pour aucune table. |
Contenu connexe
Pour plus d’informations, reportez-vous aux rubriques suivantes :