Procedure consigliate per la raccolta dei dati

Questa sezione esamina le procedure consigliate per la raccolta di dati tramite connettori dati Microsoft Sentinel. Per ulteriori informazioni, vedi Connettere le origini dati, Informazioni di riferimento sui connettori dati di Microsoft Sentinel e il catalogo delle soluzioni Microsoft Sentinel.

Assegnare priorità ai connettori dati

Informazioni su come assegnare priorità ai connettori dati come parte del processo di distribuzione Microsoft Sentinel.

Filtrare i log prima dell'inserimento

È possibile filtrare i log raccolti o anche il contenuto del log prima che i dati vengano inseriti in Microsoft Sentinel. Ad esempio, è possibile filtrare i log irrilevanti o non importanti per le operazioni di sicurezza oppure rimuovere i dettagli indesiderati dai messaggi di log. Il filtro del contenuto dei messaggi può essere utile anche quando si tenta di ridurre i costi quando si usano log syslog, CEF o basati su Windows con molti dettagli irrilevanti.

Filtrare i log usando uno dei metodi seguenti:

  • Agente di monitoraggio Azure. Supportato sia in Windows che in Linux per inserire gli eventi di sicurezza di Windows. Filtrare i log raccolti configurando l'agente per raccogliere solo gli eventi specificati.

  • Logstash. Supporta il filtro del contenuto dei messaggi, inclusa l'applicazione di modifiche ai messaggi di log. Per altre informazioni, vedere Connettersi a Logstash.

Importante

L'uso di Logstash per filtrare il contenuto dei messaggi farà sì che i log vengano acquisiti come log personalizzati, con il risultato che eventuali log del livello gratuito diventino log del livello a pagamento.

I log personalizzati devono anche essere elaborati in regole di analisi, ricerca delle minacce e cartelle di lavoro, in quanto non vengono aggiunti automaticamente. I log personalizzati non sono attualmente supportati per le funzionalità di Machine Learning .

Requisiti di inserimento dati alternativi

La configurazione standard per la raccolta dei dati potrebbe non funzionare bene per la tua organizzazione, a causa di diverse difficoltà. Le tabelle seguenti descrivono le problematiche o i requisiti comuni e le possibili soluzioni e considerazioni.

Nota

Molte soluzioni elencate nelle sezioni seguenti richiedono un connettore dati personalizzato. Per altre informazioni, vedere Risorse per la creazione di connettori Microsoft Sentinel personalizzati.

Raccolta di log di Windows locale

Sfida / Requisito Possibili soluzioni Considerazioni
Richiede il filtro dei log Usa Logstash

Usare Funzioni di Azure

Usa LogicApps

Usare codice personalizzato (.NET, Python)
Anche se il filtro può comportare risparmi sui costi e inserire solo i dati necessari, alcune funzionalità Microsoft Sentinel non sono supportate, ad esempio UEBA, pagine di entità, Machine Learning e fusion.

Quando si configura il filtraggio dei log, aggiornare risorse come le query di ricerca delle minacce e le regole di analisi.
Impossibile installare l'agente Usare l'inoltro eventi di Windows, supportato con l'agente di monitoraggio Azure L'inoltro degli eventi di Windows riduce da 10.000 a 500-1000 il numero di eventi al secondo gestiti da Windows Event Collector.
I server non si connettono a Internet Usare il gateway di Log Analytics La configurazione di un proxy per l'agente richiede regole del firewall aggiuntive per consentire il funzionamento del gateway.
Richiede l'applicazione di tag e l'arricchimento in fase di acquisizione Usare Logstash per inserire un ResourceID

Usare un modello ARM per inserire il ResourceID nei computer locali

Inserire l'ID risorsa in aree di lavoro separate
Log Analytics non supporta il controllo degli accessi in base al ruolo per le tabelle personalizzate.

Microsoft Sentinel non supporta il controllo degli accessi in base ai ruoli a livello di riga.

Suggerimento: Potresti voler adottare la progettazione e le funzionalità cross-workspace per Microsoft Sentinel.
Richiede la suddivisione dei log delle operazioni e della sicurezza Usare la funzionalità multi-home di Microsoft Monitor Agent o Monitoraggio di Azure Agent La funzionalità multi-home richiede un sovraccarico di distribuzione maggiore per l'agente.
Richiede log personalizzati Raccogliere file da percorsi di cartelle specifici

Usa l'acquisizione tramite API

Usare PowerShell.

Utilizzare Logstash
È possibile che si verifichino problemi nel filtrare i log.

I metodi personalizzati non sono supportati.

I connettori personalizzati potrebbero richiedere competenze per gli sviluppatori.

Raccolta di log Linux locale

Sfida / Requisito Possibili soluzioni Considerazioni
Richiede il filtro dei log Usa Syslog-NG

Usa Rsyslog

Usare la configurazione FluentD per l'agente

Usa Monitoraggio di Azure Agent/Microsoft Monitoring Agent

Utilizzare Logstash
Alcune distribuzioni Linux potrebbero non essere supportate dall'agente.

L'uso di Syslog o FluentD richiede conoscenze per gli sviluppatori.

Per altre informazioni, vedere Connettersi ai server Windows per raccogliere eventi di sicurezza e risorse per la creazione di connettori personalizzati Microsoft Sentinel.
Impossibile installare l'agente Usare un server d'inoltro Syslog, ad esempio (syslog-ng o rsyslog.
I server non si connettono a Internet Usare il gateway di Log Analytics La configurazione di un proxy per l'agente richiede regole del firewall aggiuntive per consentire il funzionamento del gateway.
Richiede l'applicazione di tag e l'arricchimento in fase di acquisizione Usare Logstash per l'arricchimento o metodi personalizzati, ad esempio API o Hub eventi. Potrebbe essere necessario un ulteriore sforzo per filtrare.
Richiede la suddivisione dei log delle operazioni e della sicurezza Usare l'agente di monitoraggio Azure con la configurazione multi-homing.
Richiede log personalizzati Crea uno strumento di raccolta personalizzato usando l'agente Microsoft Monitoring (Log Analytics).

Soluzioni per endpoint

Se è necessario raccogliere log da soluzioni endpoint, ad esempio EDR, altri eventi di sicurezza, Sysmon e così via, usare uno dei metodi seguenti:

  • Connettore Microsoft Defender XDR per raccogliere i log da Microsoft Defender per endpoint. Questa opzione comporta costi aggiuntivi per l'inserimento dei dati.
  • Inoltro di eventi di Windows.

Nota

Il bilanciamento del carico riduce il numero di eventi al secondo che possono essere elaborati nell'area di lavoro.

Dati di Office

Se è necessario raccogliere dati di Microsoft Office, al di fuori dei dati del connettore standard, usare una delle soluzioni seguenti:

Sfida / Requisito Possibili soluzioni Considerazioni
Raccogliere dati non elaborati da Teams, traccia dei messaggi, dati di phishing e così via Usare la funzionalità di connettore Office 365 predefinita e quindi creare un connettore personalizzato per altri dati non elaborati. Il mapping degli eventi al recordID corrispondente potrebbe essere complesso.
Richiede RBAC per suddividere paesi/regioni, reparti e così via Personalizzare la raccolta dati aggiungendo tag ai dati e creando aree di lavoro dedicate per ogni separazione necessaria. La raccolta dati personalizzata presenta costi aggiuntivi per l'inserimento.
Richiede più tenant in una singola area di lavoro Personalizzare la raccolta dati usando Azure LightHouse e una visualizzazione unificata degli eventi imprevisti. La raccolta dati personalizzata presenta costi aggiuntivi per l'inserimento.

Per altre informazioni, vedere Estendere Microsoft Sentinel nelle aree di lavoro e nei tenant.

Dati della piattaforma cloud

Sfida / Requisito Possibili soluzioni Considerazioni
Filtrare i log da altre piattaforme Usa Logstash

Usare l'agente di monitoraggio Azure/l'agente di monitoraggio Microsoft (Log Analytics)
La raccolta personalizzata ha costi aggiuntivi di acquisizione.

Potrebbe essere difficile raccogliere tutti gli eventi di Windows e solo gli eventi di sicurezza.
Non è possibile usare l'agente Usare l'inoltro di eventi di Windows Potrebbe essere necessario distribuire il carico di lavoro tra le proprie risorse.
I server sono in una rete isolata Usare il gateway di Log Analytics La configurazione di un proxy per l'agente richiede regole del firewall per consentire il funzionamento del gateway.
Controllo degli accessi basato sui ruoli, assegnazione di tag e arricchimento in fase di acquisizione Creare una raccolta personalizzata tramite Logstash o l'API Log Analytics. RBAC non è supportato per le tabelle personalizzate

Il controllo degli accessi basato sui ruoli a livello di riga (RBAC) non è supportato per nessuna tabella.

Per altre informazioni, vedere: