Después de configurar un entorno de Microsoft Sentinel, es natural insertar la mayor cantidad de datos posible en el nuevo SIEM. Este es un error común, ya que Sentinel es un SIEM en la nube, lo que significa que los costos de almacenamiento pueden aumentar rápidamente si no se administran adecuadamente. Antes de habilitar un nuevo conector de datos, debe considerar sus casos de uso y prioridad. Este artículo describe mi proceso de pensamiento sobre la elección de conectores de datos y cómo mantener bajos los costos.
No como SIEM local
Un error común al migrar de un SIEM local a Sentinel es permitir que cada conector de datos ingiera la mayor cantidad posible de datos en Sentinel, incluidos los registros de aplicaciones, los firewalls y los registros de NetFlow de los conmutadores. Si bien este enfoque podría funcionar bien con otros SIEM, esto no es cierto para Sentinel. La facturación de Sentinel se basa en la nube, por lo que los costos se basan en la cantidad de datos que recibe y almacena Sentinel. Si bien es técnicamente factible ingerir datos de múltiples fuentes en Sentinel, las facturas mensuales aumentarán rápidamente y el costo de Sentinel será terrible.
Tener una mentalidad de nube es esencial al migrar a Sentinel. Esto no significa que no pueda agregar los datos necesarios. En cambio, piense en qué datos son valiosos, cómo puede mejorar la eficiencia y mantener bajos los costos.
Razones para agregar datos a Sentinel
Antes de agregar una fuente de datos a Sentinel, considere su caso de uso y comprenda por qué es importante tener los datos en Sentinel. Para mí, existen cuatro razones para enviar datos a Sentinel:
- Alertas activas
- Enriquecimiento
- Informes
- Cumplimiento
Alertas activas
Las alertas activas son la razón más común para enviar datos a Sentinel. Después de ingerir los datos, podemos crear reglas analíticas para generar alertas e incidentes, y el equipo de seguridad puede investigar los incidentes. Algunos tipos de datos comunes son los eventos de inicio de sesión y proceso de puntos finales.
Enriquecimiento
Los entornos pueden tener fuentes de datos que no tienen valor para alertas e incidentes, pero que pueden usarse para investigar incidentes y alertas. Un gran ejemplo son los registros de red de su proxy, un producto como zScaler. Todos mis incidentes se crean en función de los datos de Microsoft Defender para Endpoint, pero estos datos a veces carecen de detalles esenciales. Los registros de zScaler se pueden ingerir para aumentar los datos existentes para una investigación. Con zScaler, puede recuperar la URL completa de una solicitud HTTP con todos los parámetros, en comparación con solo el nombre de dominio de Microsoft Defender para Endpoint. Estos registros se pueden ingerir como registros básicos para ahorrar en costos de ingesta y retención. Los registros básicos son mucho más baratos de ingerir, con la desventaja de que no se pueden usar para alertas activas.
Informes
Sentinel incluye una función llamada «Libros de trabajo» que admite la creación de visualizaciones a partir de datos almacenados en Log Analytics. A través de consultas KQL, podemos crear informes interactivos que le permitan presentar los datos almacenados en el SIEM de una manera más fácil de usar. Un ejemplo podrían ser los registros de un firewall de aplicaciones web. Estos datos también se usan para alertas activas, pero es un gran ejemplo de una fuente de datos que permite visualizaciones agradables. Al incorporar los registros de su Firewall de aplicaciones web, puede crear informes que muestren la actividad en sus servicios web y qué ubicaciones geográficas son las más activas.
Cumplimiento
La última razón, el cumplimiento, puede no ser evidente de inmediato, pero está ahí para cubrir los requisitos legales que pueda tener como organización. Algunas organizaciones deben guardar datos durante x cantidad de meses/años. Puede cumplir esos requisitos utilizando una plataforma unificada enviando esos datos a Sentinel. Para estos tipos de datos, puede usar el nivel de archivo, que se trata aquí.
Enfoque preferido
Cuando incorporo a un nuevo cliente a Sentinel, siempre empiezo poco a poco y habilito primero un conjunto de conectores de datos básicos. Este método tiene un par de ventajas:
- Permite a la organización comprender el producto con un conjunto de datos comunes y pueden aprender a usar Sentinel en función de esa información.
- Mantiene el costo bajo.
- Permite que el SOC identifique qué brechas de detección podrían identificar en su entorno y lo ayuda a priorizar el siguiente conjunto de conectores de datos.
Al elegir el primer conjunto, siempre me abro camino en la siguiente lista:
- Registros en la nube de Microsoft
- Productos de seguridad externa
- Registros de red
- Registros de aplicaciones
Registros en la nube de Microsoft
La mayoría de las organizaciones con las que trabajo se han estandarizado en la pila de seguridad de Microsoft 365 E5, que brinda mucha visibilidad en los recursos locales y en la nube. Al comenzar con los registros de Microsoft Cloud, podemos obtener una gran cantidad de visibilidad por un precio limitado. Este conjunto predeterminado de conectores incluye:
- Defensor de Microsoft 365
- Actividad azul
- Directorio activo de Azure
- Oficina 365
- Microsoft defender para la nube
Este artículo de Microsoft confirma que la mayoría de estos conectores enumerados anteriormente son gratuitos para ingerir. El conjunto de registros estándar crea un excelente punto de partida para descubrir Sentinel y al mismo tiempo tener una cobertura decente de su entorno.
Cuando trabaje con una licencia de Microsoft E3, los registros predeterminados no serán suficientes ya que no tiene las funciones de seguridad necesarias. Para esos clientes, deberían considerar traer su puerta de enlace de correo/EDR y otros registros de seguridad a Microsoft Sentinel. Esto se trata en la siguiente sección.
Productos de seguridad externa
Por supuesto, no todo es Microsoft, y la mayoría de las organizaciones usarán otros productos y herramientas de seguridad para cubrir ciertos elementos que las soluciones de Microsoft podrían no cubrir. Muchos conectores de datos integrados también están disponibles para conectar fuentes externas a Microsoft Sentinel.
Los productos de seguridad externos pueden monitorear su entorno y crear alertas e incidentes para su investigación. Al ingerir esos registros, se asegura de que su equipo de seguridad tenga un único panel de vidrio en términos de incidentes de seguridad.
Registros de red
Si bien se está trasladando mucho a la nube, casi todas las organizaciones todavía tienen servidores de seguridad, conmutadores y proxies en las instalaciones. Los datos de estas fuentes son útiles para la investigación, la elaboración de informes y el enriquecimiento. Enviar esos registros a su SIEM puede aumentar el alcance de su SOC.
Registros de aplicaciones
El último elemento de la lista son los registros de aplicaciones. Estos no son registros de inicio de sesión. En cambio, son registros de actividad generados por aplicaciones, que van desde sistemas ERP hasta herramientas de recursos humanos. Estos tipos de registros a menudo son específicos de la organización y requieren información de la propia empresa sobre qué tipo de actividad es sospechosa y debe ser alertada.
El filtrado es clave
Si bien puede copiar los registros de un producto para ingerirlos en Sentinel, lo más probable es que no necesite todos los datos en los registros. Antes de ingerir cualquier cosa, es aconsejable filtrar los datos para extraer información útil. Un gran ejemplo son los registros de firewall: es posible que le interese la actividad del administrador en sus firewalls (cuando alguien crea o elimina una regla), pero es posible que no desee todos los registros de NetFlow sin procesar. Algunos productos admiten un enfoque granular para el envío de datos, pero la mayoría no. Aquí es donde entra en juego el filtrado previo. Antes de enviar datos de registro a Sentinel, también podemos filtrar los datos. Esto se puede hacer de una de dos maneras:
- Si ingiere los datos a través del agente de Azure Monitor, use las reglas de recopilación de datos y cree consultas para decidir qué tipo de datos desea.
- No todas las fuentes de datos admiten el agente de Azure Monitor; Sentinel proporciona integración con LogStash, una herramienta de código abierto que le permite crear consultas sobre qué tipo de datos desea reenviar a Sentinel.
Piensa antes de conectar
Si bien Sentinel facilita la incorporación rápida de muchas fuentes de datos, es importante mantener los costos en perspectiva. Las organizaciones deben tener una razón válida para enviar esos datos («Solo porque podemos», no es una razón válida) y priorizarlos frente a otros. Enviar todos sus datos a Sentinel el primer día no tendrá sentido ya que pagará por datos que no usará. Priorice los conectores de datos que proporcionan los datos más útiles y avance hacia abajo.
