Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Abschnitt werden bewährte Methoden zum Sammeln von Daten mithilfe von Microsoft Sentinel-Datenconnectors erläutert. Weitere Informationen finden Sie unter Verbinden von Datenquellen, Microsoft Sentinel Referenz zu Datenconnectors und im Microsoft Sentinel-Lösungskatalog.
Priorisieren Ihrer Datenconnectors
Erfahren Sie, wie Sie Ihre Datenconnectors im Rahmen des Microsoft Sentinel Bereitstellungsprozesses priorisieren.
Filtern Ihrer Protokolle vor der Erfassung
Möglicherweise möchten Sie die gesammelten Protokolle oder sogar den Protokollinhalt filtern, bevor die Daten in Microsoft Sentinel erfasst werden. Sie können z. B. Protokolle herausfiltern, die für Sicherheitsvorgänge irrelevant oder unwichtig sind, oder Sie möchten unerwünschte Details aus Protokollmeldungen entfernen. Das Filtern von Nachrichteninhalten kann auch hilfreich sein, wenn Sie versuchen, die Kosten zu senken, wenn Sie mit Syslog-, CEF- oder Windows-basierten Protokollen arbeiten, die viele irrelevante Details enthalten.
Filtern Sie Ihre Protokolle mit einer der folgenden Methoden:
Der Azure-Monitor-Agent. Unterstützt sowohl unter Windows als auch Linux zum Erfassen von Windows-Sicherheitsereignissen. Filtern Sie die gesammelten Protokolle, indem Sie den Agent so konfigurieren, dass er nur angegebene Ereignisse sammelt.
Logstash. Unterstützt das Filtern von Nachrichteninhalten, einschließlich Änderungen an den Protokollmeldungen. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Logstash.
Wichtig
Die Verwendung von Logstash zum Filtern Ihres Nachrichteninhalts führt dazu, dass Ihre Protokolle als benutzerdefinierte Protokolle erfasst werden, sodass alle Protokolle im Free-Tarif zu Protokollen im kostenpflichtigen Tarif werden.
Benutzerdefinierte Protokolle müssen auch in Analyseregeln, Bedrohungssuche und Arbeitsmappen verarbeitet werden, da sie nicht automatisch hinzugefügt werden. Benutzerdefinierte Protokolle werden auch für Machine Learning-Funktionen derzeit nicht unterstützt.
Anforderungen an die alternative Datenerfassung
Standard Konfiguration für die Datensammlung funktioniert aufgrund verschiedener Herausforderungen möglicherweise nicht gut für Ihre organization. In den folgenden Tabellen werden häufige Herausforderungen oder Anforderungen sowie mögliche Lösungen und Überlegungen beschrieben.
Hinweis
Viele lösungen, die in den folgenden Abschnitten aufgeführt sind, erfordern einen benutzerdefinierten Datenconnector. Weitere Informationen finden Sie unter Ressourcen zum Erstellen von Microsoft Sentinel benutzerdefinierten Connectors.
Lokale Windows-Protokollsammlung
| Herausforderung/Anforderung | Mögliche Lösungen | Überlegungen |
|---|---|---|
| Protokollfilterung erforderlich | Verwenden von Logstash Verwenden von Azure-Funktionen Verwenden von LogicApps Verwenden von benutzerdefiniertem Code (.NET, Python) |
Während das Filtern zu Kosteneinsparungen führen kann und nur die erforderlichen Daten erfasst, werden einige Microsoft Sentinel Features wie UEBA, Entitätsseiten, Maschinelles Lernen und Fusion nicht unterstützt. Nehmen Sie beim Konfigurieren der Protokollfilterung Aktualisierungen in Ressourcen vor, z. B. Abfragen zur Bedrohungssuche und Analyseregeln. |
| Agent kann nicht installiert werden | Verwenden der Windows-Ereignisweiterleitung, unterstützt mit dem Azure Monitor-Agent | Die Verwendung der Windows-Ereignisweiterleitung verringert den Lastenausgleich von Ereignissen pro Sekunde aus dem Windows-Ereignissammler von 10.000 auf 500 bis 1000 Ereignisse. |
| Server stellen keine Verbindung mit dem Internet her | Verwenden des Log Analytics-Gateways | Das Konfigurieren eines Proxys für Ihren Agent erfordert zusätzliche Firewallregeln, damit das Gateway funktioniert. |
| Kennzeichnung und Anreicherung bei der Erfassung erforderlich | Verwenden von Logstash zum Einfügen einer ResourceID Verwenden einer ARM-Vorlage zum Einfügen der ResourceID in lokale Computer Erfassen der Ressourcen-ID in separaten Arbeitsbereichen |
Log Analytics unterstützt keine rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für benutzerdefinierte Tabellen. Microsoft Sentinel unterstützt keine RBAC auf Zeilenebene. Tipp: Möglicherweise möchten Sie das arbeitsbereichsübergreifende Design und die Funktionalität für Microsoft Sentinel übernehmen. |
| Erfordert das Aufteilen von Vorgangs- und Sicherheitsprotokollen | Verwenden der Multi-Home-Funktion des Microsoft Monitor-Agents oder des Azure Monitor-Agents | Multi-Home-Funktionen erfordern mehr Bereitstellungsaufwand für den Agent. |
| Erfordert benutzerdefinierte Protokolle | Sammeln von Dateien aus bestimmten Ordnerpfaden Verwenden der API-Erfassung PowerShell verwenden Verwenden von Logstash |
Möglicherweise haben Sie Probleme beim Filtern Ihrer Protokolle. Benutzerdefinierte Methoden werden nicht unterstützt. Benutzerdefinierte Connectors erfordern möglicherweise Entwicklerkenntnisse. |
Lokale Linux-Protokollsammlung
| Herausforderung/Anforderung | Mögliche Lösungen | Überlegungen |
|---|---|---|
| Protokollfilterung erforderlich | Verwenden von Syslog-NG Verwenden von Rsyslog Verwenden der FluentD-Konfiguration für den Agent Verwenden des Azure Monitor-Agents/Microsoft Monitoring Agent Verwenden von Logstash |
Einige Linux Distributionen werden vom Agent möglicherweise nicht unterstützt. Die Verwendung von Syslog oder FluentD erfordert Entwicklerkenntnisse. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Windows-Servern zum Sammeln von Sicherheitsereignissen und Ressourcen zum Erstellen von Microsoft Sentinel benutzerdefinierten Connectors. |
| Agent kann nicht installiert werden | Verwenden Sie eine Syslog-Weiterleitung, z. B. (syslog-ng oder rsyslog. | |
| Server stellen keine Verbindung mit dem Internet her | Verwenden des Log Analytics-Gateways | Das Konfigurieren eines Proxys für Ihren Agent erfordert zusätzliche Firewallregeln, damit das Gateway funktioniert. |
| Kennzeichnung und Anreicherung bei der Erfassung erforderlich | Verwenden Sie Logstash für die Anreicherung oder benutzerdefinierte Methoden wie API oder Event Hubs. | Möglicherweise ist für die Filterung zusätzlicher Aufwand erforderlich. |
| Erfordert das Aufteilen von Vorgangs- und Sicherheitsprotokollen | Verwenden Sie den Azure Monitor-Agent mit der Multi-Homing-Konfiguration. | |
| Erfordert benutzerdefinierte Protokolle | Erstellen Sie einen benutzerdefinierten Collector mithilfe des Microsoft Monitoring (Log Analytics)-Agents. |
Endpunktlösungen
Wenn Sie Protokolle von Endpunktlösungen wie EDR, anderen Sicherheitsereignissen, Sysmon usw. sammeln müssen, verwenden Sie eine der folgenden Methoden:
- Microsoft Defender XDR Connector, um Protokolle von Microsoft Defender for Endpoint zu sammeln. Diese Option verursacht zusätzliche Kosten für die Datenerfassung.
- Windows-Ereignisweiterleitung.
Hinweis
Der Lastenausgleich reduziert die Ereignisse pro Sekunde, die im Arbeitsbereich verarbeitet werden können.
Office-Daten
Wenn Sie Microsoft Office-Daten außerhalb der Standardconnectordaten sammeln müssen, verwenden Sie eine der folgenden Lösungen:
| Herausforderung/Anforderung | Mögliche Lösungen | Überlegungen |
|---|---|---|
| Sammeln von Rohdaten aus Teams, Nachrichtenablaufverfolgung, Phishingdaten usw. | Verwenden Sie die integrierte Office 365 Connectorfunktionalität, und erstellen Sie dann einen benutzerdefinierten Connector für andere Rohdaten. | Das Zuordnen von Ereignissen zur entsprechenden recordID kann schwierig sein. |
| Erfordert RBAC für die Aufteilung von Ländern/Regionen, Abteilungen usw. | Passen Sie Ihre Datensammlung an, indem Sie Den Daten Tags hinzufügen und dedizierte Arbeitsbereiche für jede erforderliche Trennung erstellen. | Bei der benutzerdefinierten Datensammlung fallen zusätzliche Erfassungskosten an. |
| Erfordert mehrere Mandanten in einem einzelnen Arbeitsbereich | Passen Sie Ihre Datensammlung mit Azure LightHouse und einer einheitlichen Incidentansicht an. | Bei der benutzerdefinierten Datensammlung fallen zusätzliche Erfassungskosten an. Weitere Informationen finden Sie unter Erweitern Microsoft Sentinel über Arbeitsbereiche und Mandanten hinweg. |
Cloudplattformdaten
| Herausforderung/Anforderung | Mögliche Lösungen | Überlegungen |
|---|---|---|
| Filtern von Protokollen von anderen Plattformen | Verwenden von Logstash Verwenden des Azure Monitor-Agents bzw. des Microsoft Monitoring-Agents (Log Analytics) |
Für eine benutzerdefinierte Sammlung fallen zusätzliche Erfassungskosten an. Möglicherweise haben Sie die Herausforderung, alle Windows-Ereignisse im Vergleich zu nur Sicherheitsereignissen zu erfassen. |
| Agent kann nicht verwendet werden | Verwenden der Windows-Ereignisweiterleitung | Möglicherweise müssen Sie einen Lastenausgleich für Ihre Ressourcen ausführen. |
| Server befinden sich in einem Air-Gap-Netzwerk | Verwenden des Log Analytics-Gateways | Zum Konfigurieren eines Proxys für Ihren Agent sind Firewallregeln erforderlich, damit das Gateway funktioniert. |
| RBAC, Tagging und Anreicherung bei der Erfassung | Erstellen Sie eine benutzerdefinierte Sammlung über Logstash oder die Log Analytics-API. | RBAC wird für benutzerdefinierte Tabellen nicht unterstützt. RBAC auf Zeilenebene wird für keine Tabellen unterstützt. |
Verwandte Inhalte
Weitere Informationen finden Sie unter: