Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze sectie worden de best practices besproken voor het verzamelen van gegevens met behulp van Microsoft Sentinel gegevensconnectors. Zie Verbinding maken met gegevensbronnen, Microsoft Sentinel naslaginformatie over gegevensconnectors en de catalogus met Microsoft Sentinel-oplossingen voor meer informatie.
Prioriteit geven aan uw gegevensconnectors
Meer informatie over het prioriteren van uw gegevensconnectors als onderdeel van het Microsoft Sentinel-implementatieproces.
Uw logboeken filteren vóór opname
Mogelijk wilt u de verzamelde logboeken of zelfs de inhoud ervan filteren voordat de gegevens worden opgenomen in Microsoft Sentinel. U wilt bijvoorbeeld logboeken filteren die irrelevant of onbelangrijk zijn voor beveiligingsbewerkingen, of u wilt mogelijk ongewenste details uit logboekberichten verwijderen. Het filteren van berichtinhoud kan ook handig zijn bij het verlagen van de kosten bij het werken met Syslog-, CEF- of Windows-logboeken met veel irrelevante details.
Filter uw logboeken met behulp van een van de volgende methoden:
De Azure Monitor Agent. Wordt ondersteund in zowel Windows als Linux om Windows-beveiligingsgebeurtenissen op te nemen. Filter de verzamelde logboeken door de agent zo te configureren dat alleen opgegeven gebeurtenissen worden verzameld.
Logstash. Ondersteunt het filteren van berichtinhoud, inclusief het aanbrengen van wijzigingen in de logboekberichten. Zie Verbinding maken met Logstash voor meer informatie.
Belangrijk
Als u Logstash gebruikt om uw berichtinhoud te filteren, worden uw logboeken opgenomen als aangepaste logboeken, waardoor logboeken in gratis lagen worden omgezet in logboeken in betaalde lagen.
Aangepaste logboeken moeten ook worden verwerkt in analyseregels, opsporing van bedreigingen en werkmappen, omdat ze niet automatisch worden toegevoegd. Aangepaste logboeken worden momenteel ook niet ondersteund voor machine learning-mogelijkheden .
Alternatieve vereisten voor gegevensopname
De standaardconfiguratie voor gegevensverzameling werkt mogelijk niet goed voor uw organisatie vanwege verschillende uitdagingen. In de volgende tabellen worden veelvoorkomende uitdagingen of vereisten en mogelijke oplossingen en overwegingen beschreven.
Opmerking
Voor veel oplossingen die in de volgende secties worden vermeld, is een aangepaste gegevensconnector vereist. Zie Resources voor het maken van Microsoft Sentinel aangepaste connectors voor meer informatie.
On-premises Windows-logboekverzameling
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Logboekfiltering vereist | Logstash gebruiken Azure Functions gebruiken LogicApps gebruiken Aangepaste code gebruiken (.NET, Python) |
Hoewel filteren kan leiden tot kostenbesparingen en alleen de vereiste gegevens opneemt, worden sommige Microsoft Sentinel functies niet ondersteund, zoals UEBA, entiteitspagina's, machine learning en fusie. Wanneer u logboekfiltering configureert, moet u updates aanbrengen in resources, zoals query's voor het opsporen van bedreigingen en analyseregels. |
| Agent kan niet worden geïnstalleerd | Windows Event Forwarding gebruiken, ondersteund met de Azure Monitor-agent | Het doorsturen van Windows-gebeurtenissen verlaagt taakverdelingsgebeurtenissen per seconde van Windows Event Collector, van 10.000 gebeurtenissen naar 500-1000 gebeurtenissen. |
| Servers maken geen verbinding met internet | De Log Analytics-gateway gebruiken | Voor het configureren van een proxy voor uw agent zijn extra firewallregels vereist om de gateway te laten werken. |
| Tagging en verrijking bij opname vereist | Logstash gebruiken om een ResourceID in te voeren Een ARM-sjabloon gebruiken om de ResourceID in on-premises machines te injecteren De resource-id opnemen in afzonderlijke werkruimten |
Log Analytics biedt geen ondersteuning voor op rollen gebaseerd toegangsbeheer (RBAC) voor aangepaste tabellen. Microsoft Sentinel biedt geen ondersteuning voor RBAC op rijniveau. Tip: misschien wilt u het ontwerp en de functionaliteit voor meerdere werkruimten gebruiken voor Microsoft Sentinel. |
| Vereist splitsbewerkings- en beveiligingslogboeken | Microsoft Monitor Agent of Azure Monitor Agent multi-home functionaliteit gebruiken | Voor de multi-home-functionaliteit is meer overhead voor de implementatie van de agent vereist. |
| Vereist aangepaste logboeken | Bestanden uit specifieke mappaden verzamelen API-opname gebruiken PowerShell gebruiken Logstash gebruiken |
Mogelijk hebt u problemen met het filteren van uw logboeken. Aangepaste methoden worden niet ondersteund. Voor aangepaste connectors zijn mogelijk ontwikkelvaardigheden vereist. |
On-premises Linux logboekverzameling
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Logboekfiltering vereist | Syslog-NG gebruiken Rsyslog gebruiken FluentD-configuratie gebruiken voor de agent De Azure Monitor-agent/Microsoft Monitoring Agent gebruiken Logstash gebruiken |
Sommige Linux-distributies worden mogelijk niet ondersteund door de agent. Voor het gebruik van Syslog of FluentD is kennis van ontwikkelaars vereist. Zie Verbinding maken met Windows-servers om beveiligingsevenementen te verzamelen en Resources voor het maken van Microsoft Sentinel aangepaste connectors voor meer informatie. |
| Agent kan niet worden geïnstalleerd | Gebruik een Syslog-doorstuurserver, zoals (syslog-ng of rsyslog. | |
| Servers maken geen verbinding met internet | De Log Analytics-gateway gebruiken | Voor het configureren van een proxy voor uw agent zijn extra firewallregels vereist om de gateway te laten werken. |
| Tagging en verrijking bij opname vereist | Gebruik Logstash voor verrijking of aangepaste methoden, zoals API of Event Hubs. | Mogelijk moet u extra moeite doen om te filteren. |
| Vereist splitsbewerkings- en beveiligingslogboeken | Gebruik de Azure Monitor Agent met de multi-homing-configuratie. | |
| Vereist aangepaste logboeken | Maak een aangepaste collector met behulp van de Microsoft Monitoring-agent (Log Analytics). |
Eindpuntoplossingen
Als u logboeken wilt verzamelen van eindpuntoplossingen, zoals EDR, andere beveiligingsgebeurtenissen, Sysmon, enzovoort, gebruikt u een van de volgende methoden:
- Microsoft Defender XDR connector om logboeken van Microsoft Defender voor Eindpunt te verzamelen. Voor deze optie worden extra kosten in rekening gebracht voor de gegevensopname.
- Windows Event Forwarding.
Opmerking
Taakverdeling vermindert de gebeurtenissen per seconde die naar de werkruimte kunnen worden verwerkt.
Office-gegevens
Als u Microsoft Office-gegevens wilt verzamelen, gebruikt u een van de volgende oplossingen buiten de standaardconnectorgegevens:
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Onbewerkte gegevens verzamelen uit Teams, berichttracering, phishinggegevens, enzovoort | Gebruik de ingebouwde Office 365-connectorfunctionaliteit en maak vervolgens een aangepaste connector voor andere onbewerkte gegevens. | Het toewijzen van gebeurtenissen aan de bijbehorende recordID kan lastig zijn. |
| Vereist RBAC voor het splitsen van landen/regio's, afdelingen, enzovoort | Pas uw gegevensverzameling aan door tags toe te voegen aan gegevens en speciale werkruimten te maken voor elke scheiding die nodig is. | Het verzamelen van aangepaste gegevens heeft extra opnamekosten. |
| Vereist meerdere tenants in één werkruimte | Pas uw gegevensverzameling aan met behulp van Azure LightHouse en een geïntegreerde incidentweergave. | Het verzamelen van aangepaste gegevens heeft extra opnamekosten. Zie Microsoft Sentinel uitbreiden voor werkruimten en tenants voor meer informatie. |
Cloudplatformgegevens
| Uitdaging/vereiste | Mogelijke oplossingen | Overwegingen |
|---|---|---|
| Logboeken van andere platforms filteren | Logstash gebruiken De Azure Monitor-agent/Microsoft Monitoring -agent (Log Analytics) gebruiken |
Aangepaste verzameling heeft extra opnamekosten. Het kan lastig zijn om alle Windows-gebeurtenissen te verzamelen versus alleen beveiligingsincidenten. |
| Agent kan niet worden gebruikt | Windows Event Forwarding gebruiken | Mogelijk moet u de inspanningen over uw resources verdelen. |
| Servers bevinden zich in een air-gapped-netwerk | De Log Analytics-gateway gebruiken | Voor het configureren van een proxy voor uw agent zijn firewallregels vereist om de gateway te laten werken. |
| RBAC, taggen en verrijking bij opname | Maak een aangepaste verzameling via Logstash of de Log Analytics-API. | RBAC wordt niet ondersteund voor aangepaste tabellen RBAC op rijniveau wordt niet ondersteund voor tabellen. |
Verwante onderwerpen
Zie voor meer informatie: