資料收集最佳做法
本節會檢閱使用 Microsoft Sentinel 資料連線器收集資料的最佳做法。 如需詳細資訊,請參閱 連線資料來源 、 Microsoft Sentinel 資料連線器參考 和 Microsoft Sentinel 解決方案目錄 。
排定資料連線器的優先順序
瞭解如何 在 Microsoft Sentinel 部署程式中排定資料連線器 的優先順序。
在擷取之前篩選您的記錄
您可能想要先篩選收集的記錄,甚至是記錄內容,再將資料內嵌至 Microsoft Sentinel。 例如,您可能想要篩選出與安全性作業無關或不重要的記錄,或是想要從記錄訊息中移除不必要的詳細資料。 使用具有許多不相關詳細資料的 Syslog、CEF 或 Windows 型記錄時,篩選訊息內容也可能很有説明。
使用下列其中一種方法來篩選記錄:
Azure 監視器代理程式 。 在 Windows 和 Linux 上都支援內嵌 Windows 安全性事件 。 設定代理程式只收集指定的事件,以篩選所收集的記錄。
Logstash 。 支援篩選訊息內容,包括變更記錄訊息。 如需詳細資訊,請參閱 使用 Logstash 連線。
重要
使用 Logstash 來篩選您的訊息內容,會導致記錄內嵌為自訂記錄,導致任何 免費層 記錄變成付費層記錄。
自訂記錄也需要處理到 分析規則 、 威脅搜捕 和 活頁簿 中,因為它們不會自動新增。 自訂記錄目前也不支援 機器學習 功能。
替代資料擷取需求
由於各種挑戰,資料收集的標準組態可能無法正常運作。 下表說明常見的挑戰或需求,以及可能的解決方案和考慮。
注意
下列各節所列的許多解決方案都需要自訂資料連線器。 如需詳細資訊,請參閱 建立 Microsoft Sentinel 自訂連接器的資源 。
內部部署 Windows 記錄收集
| 挑戰/需求 | 可能的解決方案 | 考量 |
|---|---|---|
| 需要記錄篩選 | 使用 Logstash 使用 Azure Functions 使用 LogicApps 使用自訂程式碼 (.NET, Python) |
雖然篩選可能會導致節省成本,並只內嵌必要的資料,但不支援某些 Microsoft Sentinel 功能,例如 UEBA 、實體頁面 、 機器學習 和 融合 。 設定記錄篩選時,請在資源中進行更新,例如威脅搜捕查詢和分析規則 |
| 無法安裝代理程式 | 使用 Azure 監視器代理程式支援的 Windows 事件轉送 | 使用 Windows 事件轉送可降低 Windows 事件收集器每秒的負載平衡事件,從 10,000 個事件降低到 500-1000 個事件。 |
| 伺服器未連線到網際網路 | 使用 Log Analytics 閘道 | 設定代理程式的 Proxy 需要額外的防火牆規則,才能讓閘道運作。 |
| 在擷取時需要標記和擴充 | 使用 Logstash 插入 ResourceID 使用 ARM 範本將 ResourceID 插入內部部署電腦 將資源識別碼內嵌至不同的工作區 |
Log Analytics 不支援自訂資料表的 RBAC Microsoft Sentinel 不支援資料列層級 RBAC 提示 :您可能想要針對 Microsoft Sentinel 採用跨工作區設計和功能。 |
| 需要分割作業和安全性記錄 | 使用 Microsoft Monitor Agent 或 Azure 監視器代理程式 多重首頁功能 | 多宿主功能需要代理程式更多的部署額外負荷。 |
| 需要自訂記錄 | 從特定資料夾路徑收集檔案 使用 API 擷取 使用 PowerShell 使用 Logstash |
您可能有篩選記錄的問題。 不支援自訂方法。 自訂連接器可能需要開發人員技能。 |
內部部署 Linux 記錄收集
| 挑戰/需求 | 可能的解決方案 | 考量 |
|---|---|---|
| 需要記錄篩選 | 使用 Syslog-NG 使用 Rsyslog 針對代理程式使用 FluentD 組態 使用 Azure 監視器代理程式/Microsoft Monitoring Agent 使用 Logstash |
代理程式可能不支援某些 Linux 發行版本。 使用 Syslog 或 FluentD 需要開發人員知識。 如需詳細資訊,請參閱 連線 Windows 伺服器以收集安全性事件 和資源 ,以建立 Microsoft Sentinel 自訂連接器 。 |
| 無法安裝代理程式 | 使用 Syslog 轉寄站,例如 (syslog-ng 或 rsyslog。 | |
| 伺服器未連線到網際網路 | 使用 Log Analytics 閘道 | 設定代理程式的 Proxy 需要額外的防火牆規則,才能讓閘道運作。 |
| 在擷取時需要標記和擴充 | 使用 Logstash 進行擴充,或自訂方法,例如 API 或事件中樞。 | 您可能需要額外的工作才能篩選。 |
| 需要分割作業和安全性記錄 | 使用 Azure 監視器代理程式 搭配多路連接組態。 | |
| 需要自訂記錄 | 使用 Microsoft Monitoring (Log Analytics) 代理程式建立自訂收集器。 |
端點解決方案
如果您需要從端點解決方案收集記錄,例如 EDR、其他安全性事件、Sysmon 等,請使用下列其中一種方法:
- Microsoft Defender 全面偵測回應連接器 ,從適用於端點的 Microsoft Defender收集記錄。 此選項會產生資料擷取的額外成本。
- Windows 事件轉送 。
注意
負載平衡會減少每秒可處理至工作區的事件數。
Office 資料
如果您需要在標準連接器資料之外收集 Microsoft Office 資料,請使用下列其中一個解決方案:
| 挑戰/需求 | 可能的解決方案 | 考量 |
|---|---|---|
| 從 Teams 收集原始資料、郵件追蹤、網路釣魚資料等等 | 使用內 建的 Office 365 連接器 功能,然後為其他原始資料建立自訂連接器。 | 將事件對應至對應的 recordID 可能很有挑戰性。 |
| 需要 RBAC 來分割國家/地區、部門等等 | 將標籤新增至資料,並針對所需的每個分隔建立專用工作區,以自訂資料收集。 | 自訂資料收集具有額外的擷取成本。 |
| 單一工作區中需要多個租使用者 | 使用 Azure LightHouse 和統一的事件檢視來自訂資料收集。 | 自訂資料收集具有額外的擷取成本。 如需詳細資訊,請參閱 跨工作區和租使用者 擴充 Microsoft Sentinel。 |
雲端平臺資料
| 挑戰/需求 | 可能的解決方案 | 考量 |
|---|---|---|
| 篩選其他平臺的記錄 | 使用 Logstash 使用 Azure 監視器代理程式 /Microsoft Monitoring (Log Analytics) 代理程式 |
自訂集合具有額外的擷取成本。 您可能會面臨收集所有 Windows 事件與僅安全性事件的挑戰。 |
| 無法使用代理程式 | 使用 Windows 事件轉送 | 您可能需要在資源之間平衡工作負載。 |
| 伺服器位於空中網路 | 使用 Log Analytics 閘道 | 設定代理程式的 Proxy 需要防火牆規則,才能讓閘道運作。 |
| 擷取時的 RBAC、標記和擴充 | 透過 Logstash 或 Log Analytics API 建立自訂集合。 | 自訂資料表不支援 RBAC 任何資料表都不支援資料列層級 RBAC。 |
下一步
如需詳細資訊,請參閱