Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne delen gjennomgår anbefalte fremgangsmåter for innsamling av data ved hjelp av Microsoft Sentinel datakoblinger. Hvis du vil ha mer informasjon, kan du se Koble til datakilder, Microsoft Sentinel datakoblingsreferanse og Microsoft Sentinel løsningskatalogen.
Prioriter datakoblingene
Finn ut hvordan du prioriterer datakoblingene som en del av Microsoft Sentinel distribusjonsprosessen.
Filtrer loggene før inntak
Du vil kanskje filtrere loggene som samles inn, eller til og med logge innhold, før dataene tas inn i Microsoft Sentinel. Du kan for eksempel filtrere ut logger som er irrelevante eller uviktige for sikkerhetsoperasjoner, eller du vil kanskje fjerne uønskede detaljer fra loggmeldinger. Filtrering av meldingsinnhold kan også være nyttig når du prøver å redusere kostnadene når du arbeider med Syslog-, CEF- eller Windows-baserte logger som har mange irrelevante detaljer.
Filtrer loggene ved hjelp av én av følgende metoder:
Azure monitoragent. Støttes på både Windows og Linux til inntak av Windows-sikkerhetshendelser. Filtrer loggene som samles inn, ved å konfigurere agenten til å samle bare inn angitte hendelser.
Logstash. Støtter filtrering av meldingsinnhold, inkludert endringer i loggmeldingene. Hvis du vil ha mer informasjon, kan du se Koble til Logstash.
Viktig
Hvis du bruker Logstash til å filtrere meldingsinnholdet, blir loggene inntatt som egendefinerte logger, noe som fører til at eventuelle logger på gratisnivå blir betalte logger.
Egendefinerte logger må også arbeides med analyseregler, trusseljakt og arbeidsbøker, siden de ikke legges til automatisk. Egendefinerte logger støttes heller ikke for øyeblikket for Machine Learning-funksjoner .
Alternative krav til datainntak
Standard konfigurasjon for datainnsamling fungerer kanskje ikke bra for organisasjonen på grunn av ulike utfordringer. Tabellene nedenfor beskriver vanlige utfordringer eller krav og mulige løsninger og vurderinger.
Obs!
Mange løsninger som er oppført i avsnittene nedenfor, krever en egendefinert datakobling. Hvis du vil ha mer informasjon, kan du se Ressurser for å opprette Microsoft Sentinel egendefinerte koblinger.
Lokal Windows-loggsamling
| Utfordring/krav | Mulige løsninger | Hensyn |
|---|---|---|
| Krever loggfiltrering | Bruk Logstash Bruk Azure Functions Bruk LogicApps Bruk egendefinert kode (.NET, Python) |
Selv om filtrering kan føre til kostnadsbesparelser og bare inntar de nødvendige dataene, støttes ikke noen Microsoft Sentinel funksjoner, for eksempel UEBA, enhetssider, maskinlæring og fusjon. Når du konfigurerer loggfiltrering, foretar du oppdateringer i ressurser som trusseljaktspørringer og analyseregler. |
| Agenten kan ikke installeres | Bruk Windows Event Forwarding, som støttes med Azure Monitor Agent | Bruk av Windows Event-videresending senker belastningsfordelingshendelser per sekund fra Windows Event Collector, fra 10 000 hendelser til 500–1000 hendelser. |
| Servere kobler ikke til Internett | Bruk Log Analytics-gatewayen | Konfigurering av en proxy til agenten krever ekstra brannmurregler for at gatewayen skal fungere. |
| Krever merking og berikelse ved inntak | Bruke Logstash til å sette inn en ResourceID Bruke en ARM-mal til å injisere ResourceID i lokale maskiner Ta inn ressurs-ID-en i separate arbeidsområder |
Log Analytics støtter ikke rollebasert tilgangskontroll (RBAC) for egendefinerte tabeller. Microsoft Sentinel støtter ikke RBAC på radnivå. Tips: Du vil kanskje ta i bruk utforming og funksjonalitet på tvers av arbeidsområder for Microsoft Sentinel. |
| Krever oppdelingsoperasjon og sikkerhetslogger | Bruk Microsoft Monitor Agent eller Azure Monitor Agent multi-home funksjonalitet | Funksjonalitet for flere hjem krever mer distribusjonskostnader for agenten. |
| Krever egendefinerte logger | Samle inn filer fra bestemte mappebaner Bruk API-inntak Bruk PowerShell Bruk Logstash |
Det kan hende du har problemer med å filtrere loggene. Egendefinerte metoder støttes ikke. Egendefinerte koblinger kan kreve utviklerferdigheter. |
Lokal loggsamling for Linux
| Utfordring/krav | Mulige løsninger | Hensyn |
|---|---|---|
| Krever loggfiltrering | Bruk Syslog-NG Bruk Rsyslog Bruk FluentD-konfigurasjon for agenten Bruk Azure Monitor Agent/Microsoft Monitoring Agent Bruk Logstash |
Noen Linux distribusjoner støttes kanskje ikke av agenten. Bruk av Syslog eller FluentD krever utviklerkunnskap. Hvis du vil ha mer informasjon, kan du se Koble til Windows-servere for å samle inn sikkerhetshendelser og ressurser for å opprette Microsoft Sentinel egendefinerte koblinger. |
| Agenten kan ikke installeres | Bruk en Syslog forwarder, for eksempel (syslog-ng eller rsyslog. | |
| Servere kobler ikke til Internett | Bruk Log Analytics-gatewayen | Konfigurering av en proxy til agenten krever ekstra brannmurregler for at gatewayen skal fungere. |
| Krever merking og berikelse ved inntak | Bruk Logstash for berikelse eller egendefinerte metoder, for eksempel API eller Event Hubs. | Du kan ha ekstra innsats påkrevd for filtrering. |
| Krever oppdelingsoperasjon og sikkerhetslogger | Bruk Azure Monitor Agent med konfigurasjonen for flere hjem. | |
| Krever egendefinerte logger | Opprett en egendefinert samler ved hjelp av Microsoft Monitoring (Log Analytics)-agenten. |
Endepunktløsninger
Hvis du trenger å samle inn logger fra endepunktløsninger, for eksempel EDR, andre sikkerhetshendelser, Sysmon og så videre, kan du bruke én av følgende metoder:
- Microsoft Defender XDR kobling for å samle inn logger fra Microsoft Defender for endepunkt. Dette alternativet medfører ekstra kostnader for datainntaket.
- Windows-hendelsessending.
Obs!
Belastningsfordeling reduserer antall hendelser per sekund som kan behandles til arbeidsområdet.
Office-data
Hvis du trenger å samle inn Microsoft Office-data utenfor standard koblingsdata, kan du bruke én av følgende løsninger:
| Utfordring/krav | Mulige løsninger | Hensyn |
|---|---|---|
| Samle inn rådata fra Teams, meldingssporing, phishing-data og så videre | Bruk den innebygde Office 365 koblingsfunksjonalitet, og opprett deretter en egendefinert kobling for andre rådata. | Det kan være utfordrende å tilordne hendelser til tilsvarende post-ID. |
| Krever RBAC for oppdeling av land/områder, avdelinger og så videre | Tilpass datainnsamlingen ved å legge til koder i data og opprette dedikerte arbeidsområder for hver fordeling som kreves. | Egendefinert datainnsamling har ekstra inntakskostnader. |
| Krever flere leiere i ett enkelt arbeidsområde | Tilpass datainnsamlingen ved hjelp av Azure LightHouse og en samlet hendelsesvisning. | Egendefinert datainnsamling har ekstra inntakskostnader. Hvis du vil ha mer informasjon, kan du se Utvide Microsoft Sentinel på tvers av arbeidsområder og leiere. |
Data for skyplattform
| Utfordring/krav | Mulige løsninger | Hensyn |
|---|---|---|
| Filterlogger fra andre plattformer | Bruk Logstash Bruk agenten Azure Monitor Agent / Microsoft Monitoring (Log Analytics) |
Egendefinert samling har ekstra inntakskostnader. Du kan ha en utfordring med å samle inn alle Windows-hendelser kontra bare sikkerhetshendelser. |
| Agenten kan ikke brukes | Bruk Windows Event Forwarding | Du må kanskje belastningsfordele innsatsen på tvers av ressursene dine. |
| Servere er i luft-gapped nettverk | Bruk Log Analytics-gatewayen | Konfigurering av en proxy til agenten krever brannmurregler for at gatewayen skal fungere. |
| RBAC, merking og berikelse ved inntak | Opprett egendefinert samling via Logstash eller Log Analytics-API-en. | RBAC støttes ikke for egendefinerte tabeller RBAC på radnivå støttes ikke for noen tabeller. |
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: