Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V případě pracovních prostorů Microsoft Sentinel připojených k Defenderu je nutné provádět vrstvení a správu uchovávání dat z nového prostředí pro správu tabulek na portálu Defender. V případě nepřipojených pracovních prostorů Microsoft Sentinelu dál používejte prostředí popsaná níže ke správě dat ve vašich pracovních prostorech.
Existují dva konkurenční aspekty shromažďování protokolů a uchovávání, které jsou pro úspěšný program detekce hrozeb důležité. Na jedné straně chcete maximalizovat počet shromažďovaných zdrojů protokolů, abyste měli co nejkomplexnější možné pokrytí zabezpečení. Na druhou stranu je potřeba minimalizovat náklady vzniklé příjmem všech těchto dat.
Tyto konkurenční potřeby vyžadují strategii správy protokolů, která vyrovnává náklady na přístupnost dat, výkon dotazů a úložiště.
Tento článek popisuje kategorie dat a stavy uchovávání informací používané k ukládání a přístupu k datům. Popisuje také úrovně protokolů, které Microsoft Sentinel nabízí k vytvoření strategie správy protokolů a uchovávání informací.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5.
Od července 2026 budou všichni zákazníci používající Microsoft Sentinel na webu Azure Portal přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových zákazníků automaticky onboarduje a přesměruje na portál Defender.
Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování webu Azure Portal od Microsoft Sentinelu pro zajištění vyššího zabezpečení.
Kategorie přijatých dat
Microsoft doporučuje klasifikovat data přijatá do Microsoft Sentinelu do dvou obecných kategorií:
Primární data zabezpečení jsou data, která obsahují kritickou hodnotu zabezpečení. Tato data slouží k proaktivnímu monitorování, plánovaným výstrahám a analýzám v reálném čase k detekci bezpečnostních hrozeb. Data musí být snadno dostupná pro všechna prostředí Microsoft Sentinelu téměř v reálném čase.
Sekundární bezpečnostní data jsou doplňková data, často ve velkých objemech a podrobných protokolech. Tato data mají omezenou hodnotu zabezpečení, ale můžou poskytovat další bohatost a kontext detekce a vyšetřování, což pomáhá vykreslit úplný přehled incidentu zabezpečení. Nemusí být snadno dostupná, ale měla by být přístupná na vyžádání podle potřeby a v odpovídajících dávkách.
Primární data zabezpečení
Tato kategorie se skládá z protokolů, které obsahují kritickou hodnotu zabezpečení pro vaši organizaci. Mezi primární případy použití dat zabezpečení pro operace zabezpečení patří:
Časté monitorování Pravidla detekce hrozeb (analýzy) se na těchto datech spouští v častých intervalech nebo téměř v reálném čase.
Lov na vyžádání. Na těchto datech se spouští složité dotazy, které provádějí interaktivní a vysoce výkonné vyhledávání bezpečnostních hrozeb.
Korelace. Data z těchto zdrojů korelují s daty z jiných primárních zdrojů dat zabezpečení za účelem detekce hrozeb a sestavování scénářů útoku.
Pravidelné reportování. Data z těchto zdrojů jsou snadno dostupná pro kompilaci do pravidelných sestav o stavu zabezpečení organizace, a to jak pro pracovníky v oblasti zabezpečení, tak pro obecné pracovníky s rozhodovací pravomocí.
Analýza chování Data z těchto zdrojů se používá k vytvoření základních profilů chování pro vaše uživatele a zařízení, a tím umožňuje identifikovat výjimečné chování jako podezřelé.
Mezi příklady primárních zdrojů dat patří:
- Protokoly z antivirových nebo podnikových systémů detekce a odezvy (EDR)
- Protokoly ověřování
- Audit tras z cloudových platforem
- Informační kanály analýzy hrozeb
- Výstrahy z externích systémů
Protokoly obsahující primární data zabezpečení by se měly ukládat pomocí analytické úrovně.
Sekundární data zabezpečení
Tato kategorie zahrnuje protokoly, jejichž jednotlivé hodnoty zabezpečení jsou omezené, ale jsou nezbytné pro zajištění komplexního přehledu o incidentu zabezpečení nebo porušení zabezpečení. Tyto protokoly jsou obvykle velké a můžou být podrobné. Případy použití operací zabezpečení pro tato data zahrnují následující:
Analýza hrozeb. Primární data je možné zkontrolovat v seznamech indikátorů ohrožení (IoC) nebo indikátorů útoku (IoA), aby bylo možné rychle a snadno detekovat hrozby.
Ad hoc lov/vyšetřování. Data je možné interaktivně dotazovat po dobu 30 dnů, což usnadňuje zásadní analýzu proaktivního vyhledávání hrozeb a vyšetřování.
Vyhledávání ve velkém měřítku Data se dají ingestovat a prohledávat na pozadí v petabajtovém měřítku a zároveň efektivně ukládat s minimálním zpracováním.
Shrnutí prostřednictvím úloh KQL Shrňte protokoly s velkým objemem do agregovaných informací a uložte výsledky do analytické úrovně.
Mezi příklady sekundárních zdrojů protokolů dat patří protokoly přístupu ke cloudovému úložišti, protokoly NetFlow, protokoly certifikátů TLS/SSL, protokoly brány firewall, protokoly proxy serveru a protokoly IoT.
V případě protokolů obsahujících sekundární data zabezpečení použijte datové jezero Microsoft Sentinel, které je navržené tak, aby nabízelo lepší škálovatelnost, flexibilitu a možnosti integrace pro pokročilé scénáře zabezpečení a dodržování předpisů.
Úrovně správy protokolů
Microsoft Sentinel poskytuje dvě různé úrovně úložiště protokolů nebo typy pro přizpůsobení těchto kategorií přijatých dat.
Plán úrovně analýzy je navržený tak, aby ukládal primární data zabezpečení a byl snadno a trvale přístupný při vysokém výkonu.
Úroveň Data Lake je optimalizovaná pro efektivní ukládání sekundárních dat zabezpečení v delších obdobích při zachování přístupnosti.
Úroveň Analýzy
Analytická úroveň uchovává data ve stavu interaktivního uchovávání po dobu 90 dnů a ve výchozím nastavení je rozšiřitelná po dobu až dvou let. Tento interaktivní stav, i když nákladný, umožňuje dotazovat se na data neomezeným způsobem s vysokým výkonem bez poplatků za dotaz.
Vrstva úložiště Data Lake
Microsoft Sentinel Data Lake je plně spravované moderní datové jezero, které sjednocuje a uchovává data zabezpečení ve velkém měřítku a umožňuje pokročilou analýzu napříč různými způsoby a detekcí hrozeb využívajících agenty AI. Umožňuje týmům zabezpečení zkoumat dlouhodobé hrozby, rozšiřovat výstrahy a vytvářet směrné plány chování s využitím měsíců dat.
Pokud je celkové uchovávání nakonfigurované tak, aby bylo delší než doba uchovávání analytické úrovně nebo když doba uchovávání analytické vrstvy skončí, budou data uložená nad úrovní analýzy nadále přístupná v datovém jezeře.
Související obsah
- Další informace o datovém jezeře Microsoft Sentinel najdete v tématu Microsoft Sentinel Data Lake.
- Pokud se chcete připojit k datovému jezeře Microsoft Sentinelu, přečtěte si téma Onboard data to Microsoft Sentinel Data Lake.