Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
S datovým jezerem Microsoft Sentinel můžete ukládat a analyzovat protokoly o vysokém objemu a nízké věrnosti, například data z firewallů nebo DNS, inventáře majetku a historické záznamy až po dobu 12 let. Vzhledem k tomu, že úložiště a výpočetní prostředky jsou oddělené, můžete dotazovat stejnou kopii dat pomocí více nástrojů, aniž byste je museli přesouvat nebo duplikovat.
Data v datovém jezeře můžete prozkoumat pomocí dotazovacího jazyka Kusto (KQL) a poznámkových bloků Jupyter, které podporují širokou škálu scénářů od proaktivního vyhledávání hrozeb a vyšetřování až po rozšiřování a strojové učení.
Tento článek představuje základní koncepty a scénáře zkoumání data lake, zdůrazňuje běžné případy použití a ukazuje, jak pracovat s daty pomocí známých nástrojů.
Interaktivní dotazy KQL
Pomocí dotazovacího jazyka Kusto (KQL) můžete spouštět interaktivní dotazy přímo na datovém jezeře přes více pracovních prostorů.
Pomocí jazyka KQL můžou analytici:
- Zkoumání a reakce pomocí historických dat: Pomocí dlouhodobých dat v datovém jezeře můžete shromažďovat forenzní důkazy, zkoumat incident, zjišťovat vzory a reagovat na incidenty.
- Obohaťte vyšetřování protokoly s velkým objemem: Využijte hlučná nebo data s nízkou věrností uložená v datovém jezeře, abyste přidali do vyšetřování zaměřených na zabezpečení kontext a hloubku.
- Korelace dat prostředků a protokolů v datovém jezeře: Dotazování inventářů prostředků a protokolů identit za účelem propojení aktivity uživatelů s prostředky a odhalení širšího útoku
Pomocí dotazů KQL v rámci služby Microsoft Sentinel>zkoumání Data Lake na portálu Defender můžete spouštět ad hoc interaktivní dotazy KQL přímo na dlouhodobých datech. Zkoumání datového jezera je k dispozici po dokončení procesu zaškolení. Dotazy KQL jsou ideální pro analytiky SOC, kteří vyšetřují incidenty, kdy se data už nemusí nacházet v analytické vrstvě. Dotazy umožňují forenzní analýzu pomocí známých dotazů bez přepisování kódu. Pokud chcete začít s dotazy KQL, podívejte se na zkoumání Data Lake – dotazy KQL.
Úlohy KQL
Úlohy KQL jsou jednorázové nebo naplánované asynchronní dotazy KQL na data v datovém jezeře Microsoft Sentinelu. Úlohy jsou užitečné například pro šetření a analytické scénáře;
- Dlouhotrvající jednorázové dotazy na vyšetřování incidentů a reakce na incidenty (IR)
- Úlohy agregace dat, které podporují workflow pro obohacení pomocí záznamů s nízkou přesností
- Historické skenování shody zpravodajských informací o hrozbách (TI) pro retrospektivní analýzu.
- Detekční skeny anomálií, které identifikují neobvyklé vzory napříč několika tabulkami
- Povýšit data z datového jezera na analytickou úroveň pro umožnění vyšetřování incidentů nebo korelace záznamů.
Spuštění jednorázových úloh KQL v datovém jezeře za účelem zvýšení úrovně konkrétních historických dat z datového jezera na úroveň analýzy nebo vytvoření vlastních souhrnných tabulek v datovém jezeře. Zvýšení úrovně dat je užitečné pro analýzu původní příčiny nebo detekci nulového dne při vyšetřování incidentů, které přesahují okno úrovně analýzy. Odešlete naplánovanou úlohu v datovém jezeře, která automatizuje opakované dotazy pro detekci anomálií nebo sestavování směrných plánů pomocí historických dat. Lovci hrozeb mohou toto použít ke sledování neobvyklých vzorů v průběhu času a k využití výsledků v detekcích nebo na řídicích panelech. Další informace najdete v tématu Vytváření úloh v datovém jezeře Microsoft Sentinel a správa úloh v datovém jezeře Microsoft Sentinel.
Scénáře zkoumání
Následující scénáře ilustrují použití dotazů KQL v datovém jezeře Microsoft Sentinel k vylepšení operací zabezpečení:
| Scénář | Podrobnosti | Příklad |
|---|---|---|
| Zkoumání incidentů zabezpečení s využitím dlouhodobých historických dat | Bezpečnostní týmy často potřebují překročit výchozí interval uchovávání informací, aby odhalily úplný rozsah incidentu. | Analytik SOC třídy 3 vyšetřuje útok hrubou silou pomocí dotazů KQL na datové jezero k dotazování dat starších než 90 dnů. Po identifikaci podezřelé aktivity z více než roku analytici propagují zjištění na úrovni analýzy za účelem hlubší analýzy a korelace incidentů. |
| Detekce anomálií a sestavení směrných plánů chování v průběhu času | Technici detekce spoléhají na historická data k vytvoření směrných plánů a identifikaci vzorů, které můžou značit škodlivé chování. | Technik detekce analyzuje protokoly přihlašování za několik měsíců, aby zjistil špičky v aktivitě. Naplánováním úlohy KQL v datovém jezeře sestaví referenční základnu časových řad a odhalí vzor konzistentní se zneužitím přihlašovacích údajů. |
| Obohacení vyšetřování pomocí protokolů s vysokým objemem a nízkou věrností | Některé protokoly jsou pro analytickou úroveň příliš hlučné nebo volumiální, ale stále jsou cenné pro kontextovou analýzu. | Analytici SOC používají KQL pro dotazování protokolů sítě a brány firewall uložených pouze v datovém jezeře. Tyto protokoly, i když nejsou v analytické úrovni, pomáhají ověřovat výstrahy a poskytovat podpůrné důkazy během vyšetřování. |
| Reakce na vznikající hrozby s využitím flexibilní vrstvení dat | Když se objeví nová analýza hrozeb, musí analytici rychle přistupovat k historickým datům a reagovat na je. | Analytik hrozeb reaguje na nově publikovaný report analýzy hrozeb spuštěním navržených dotazů KQL v datovém jezeře. Po zjištění relevantní aktivity před několika měsíci se požadovaný protokol zvýší na analytickou úroveň. Pokud chcete povolit detekci v reálném čase pro budoucnost, můžete strategie vrstvení upravit v příslušných tabulkách tak, aby přenesly nejnovější protokoly do analytické vrstvy. |
| Prozkoumejte data aktiv ze zdrojů nad rámec tradičních protokolů zabezpečení | Obohacení vyšetřování pomocí inventáře prostředků, jako jsou objekty Microsoft Entra ID a prostředky Azure. | Analytici můžou použít KQL k dotazování informací o identitě a prostředcích, jako jsou uživatelé Microsoft Entra ID, aplikace, skupiny nebo inventáře prostředků Azure, pro korelaci protokolů a získání širšího kontextu, který doplňuje stávající data zabezpečení. |