你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本部分介绍使用Microsoft Sentinel数据连接器收集数据的最佳做法。 有关详细信息,请参阅连接数据源、Microsoft Sentinel数据连接器参考和Microsoft Sentinel解决方案目录。
确定数据连接器的优先级
了解如何在Microsoft Sentinel部署过程中确定数据连接器的优先级。
在引入之前筛选日志
在将数据引入到Microsoft Sentinel之前,你可能想要筛选收集的日志,甚至日志内容。 例如,你可能想要筛选掉与安全操作无关或不重要的日志,或者可能想要从日志消息中删除不需要的详细信息。 使用包含许多不相关详细信息的 Syslog、CEF 或基于 Windows 的日志时,筛选消息内容可能也很有用。
使用以下方法之一筛选日志:
Azure Monitor 代理。 支持在 Windows 和 Linux引入 Windows 安全事件。 通过将代理配置为仅收集指定的事件来筛选收集的日志。
Logstash。 支持筛选消息内容,包括对日志消息进行更改。 有关详细信息,请参阅 使用 Logstash 进行连接。
重要
使用 Logstash 筛选消息内容将导致日志作为自定义日志引入,从而导致任何 免费层日志 成为付费层日志。
替代数据引入要求
由于存在各种挑战,数据收集Standard配置可能不适合组织。 下表描述了常见的挑战或要求,以及可能的解决方案和注意事项。
注意
以下部分中列出的许多解决方案都需要自定义数据连接器。 有关详细信息,请参阅用于创建Microsoft Sentinel自定义连接器的资源。
本地 Windows 日志收集
| 质询/要求 | 可能的解决方案 | 注意事项 |
|---|---|---|
| 需要日志筛选 | 使用 Logstash 使用 Azure Functions 使用 LogicApps 使用自定义代码 (.NET、Python) |
虽然筛选可以节省成本,并且仅引入所需的数据,但不支持某些Microsoft Sentinel功能,例如 UEBA、实体页、机器学习和融合。 配置日志筛选时,请在威胁搜寻查询和分析规则等资源中进行更新。 |
| 无法安装代理 | 使用 Azure Monitor 代理支持的 Windows 事件转发 | 使用 Windows 事件转发可降低 Windows 事件收集器的每秒负载均衡事件数,从 10,000 个事件减少到 500-1000 个事件。 |
| 服务器未连接到 Internet | 使用 Log Analytics 网关 | 为代理配置代理需要额外的防火墙规则才能使网关正常工作。 |
| 需要在引入时标记和扩充 | 使用 Logstash 注入 ResourceID 使用 ARM 模板将 ResourceID 注入本地计算机 将资源 ID 引入单独的工作区 |
Log Analytics 不支持自定义表的基于角色的访问控制 (RBAC) 。 Microsoft Sentinel不支持行级 RBAC。 提示:你可能想要为Microsoft Sentinel采用跨工作区设计和功能。 |
| 需要拆分操作和安全日志 | 使用 Microsoft Monitor 代理或Azure Monitor 代理多主页功能 | 多主页功能需要代理的部署开销增加。 |
| 需要自定义日志 | 从特定文件夹路径收集文件 使用 API 引入 使用 PowerShell 使用 Logstash |
筛选日志时可能会遇到问题。 不支持自定义方法。 自定义连接器可能需要开发人员技能。 |
本地Linux日志收集
| 质询/要求 | 可能的解决方案 | 注意事项 |
|---|---|---|
| 需要日志筛选 | 使用 Syslog-NG 使用 Rsyslog 对代理使用 FluentD 配置 使用 Azure Monitor 代理/Microsoft监视代理 使用 Logstash |
代理可能不支持某些Linux分发版。 使用 Syslog 或 FluentD 需要开发人员的知识。 有关详细信息,请参阅连接到 Windows 服务器以收集安全事件和用于创建Microsoft Sentinel自定义连接器的资源。 |
| 无法安装代理 | 使用 Syslog 转发器,例如 (syslog-ng 或 rsyslog。 | |
| 服务器未连接到 Internet | 使用 Log Analytics 网关 | 为代理配置代理需要额外的防火墙规则才能使网关正常工作。 |
| 需要在引入时标记和扩充 | 使用 Logstash 进行扩充或自定义方法,例如 API 或事件中心。 | 筛选可能需要额外的工作量。 |
| 需要拆分操作和安全日志 | 将 Azure Monitor 代理与多宿主配置配合使用。 | |
| 需要自定义日志 | 使用 Microsoft Monitoring (Log Analytics) 代理创建自定义收集器。 |
终结点解决方案
如果需要从终结点解决方案(例如 EDR、其他安全事件、Sysmon 等)收集日志,请使用以下方法之一:
- Microsoft Defender XDR连接器从Microsoft Defender for Endpoint收集日志。 此选项会产生额外的数据引入费用。
- Windows 事件转发。
注意
负载均衡可减少每秒可处理到工作区的事件数。
Office 数据
如果需要收集Microsoft Office 数据,请在标准连接器数据之外使用下列解决方案之一:
| 质询/要求 | 可能的解决方案 | 注意事项 |
|---|---|---|
| 从 Teams、邮件跟踪、网络钓鱼数据等收集原始数据 | 使用内置的Office 365连接器功能,然后为其他原始数据创建自定义连接器。 | 将事件映射到相应的 recordID 可能具有挑战性。 |
| 需要用于拆分国家/地区、部门等的 RBAC | 通过向数据添加标记并为所需的每次分离创建专用工作区来自定义数据收集。 | 自定义数据收集具有额外的引入成本。 |
| 在单个工作区中需要多个租户 | 使用 Azure LightHouse 和统一的事件视图自定义数据收集。 | 自定义数据收集具有额外的引入成本。 有关详细信息,请参阅跨工作区和租户扩展Microsoft Sentinel。 |
云平台数据
| 质询/要求 | 可能的解决方案 | 注意事项 |
|---|---|---|
| 筛选来自其他平台的日志 | 使用 Logstash 使用 Azure Monitor 代理/Microsoft监视 (Log Analytics) 代理 |
自定义集合具有额外的引入成本。 收集所有 Windows 事件与仅收集安全事件可能比较困难。 |
| 无法使用代理 | 使用 Windows 事件转发 | 可能需要跨资源对工作进行负载均衡。 |
| 服务器位于气隙网络中 | 使用 Log Analytics 网关 | 为代理配置代理需要防火墙规则才能使网关正常工作。 |
| 引入时的 RBAC、标记和扩充 | 通过 Logstash 或 Log Analytics API 创建自定义集合。 | 自定义表不支持 RBAC 任何表都不支持行级 RBAC。 |
相关内容
有关更多信息,请参阅: