Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Datové jezero Microsoft Sentinelu zrcadlí data z pracovních prostorů Microsoft Sentinelu. Když se připojíte k Microsoft Sentinel Data Lake, vaše stávající datové konektory Microsoft Sentinelu se nakonfigurují tak, aby odesílaly data do analytické vrstvy – do vašich pracovních prostorů Microsoft Sentinelu, a zároveň zrcadlily data do vrstvy Data Lake pro dlouhodobější úložiště. Po onboardingu nakonfigurujte konektory tak, aby uchovály data v jednotlivých úrovních podle vašich požadavků.
Tento článek vysvětluje, jak nastavit konektory pro datové jezero Microsoft Sentinelu a nakonfigurovat uchovávání informací. Další informace o onboardingu najdete v tématu Onboarding do služby Microsoft Sentinel Data Lake.
Konfigurace uchovávání a vrstvení dat
Po onboardingu můžete povolit nové konektory a nakonfigurovat uchovávání pro stávající konektory. Data můžete odeslat do analytické vrstvy a zrcadlit je do vrstvy Data Lake nebo je odeslat pouze do datového jezera. Uchovávání a vrstvení spravujete na stránkách nastavení konektoru nebo pomocí stránky Správa tabulek na portálu Defender. Další informace o správě a uchovávání tabulek najdete v tématu Správa datových vrstev a uchovávání na portálu Microsoft Defender.
Když povolíte konektor, ve výchozím nastavení se data odesílají do úrovně analýzy a zrcadlí se v datovém jezeře. Když povolíte datové jezero Microsoft Sentinelu, zrcadlení se automaticky povolí pro všechny tabulky od momentu zařazení. Zrcadlená data v datovém jezírku s obdobným časovým uchováním jako analytická vrstva nezpůsobují dodatečné poplatky. Existující data v tabulkách nejsou zrcadlená. Uchovávání úrovně Data Lake je nastavené na stejnou hodnotu jako úroveň analýzy. Můžete přepnout pouze na ingestování dat na vrstvu Data Lake. Když nakonfigurujete ingestování pouze na vrstvu Data Lake, příjem dat do úrovně analýzy se zastaví a stávající data v analytické vrstvě se zachovají podle nastavení uchovávání informací.
Data zachovaná v archivu jsou stále dostupná a je možné je obnovit pomocí funkce Vyhledávání a obnovení.
Chcete-li nakonfigurovat uchovávání a vrstvení pro datový konektor, podívejte se na Konfigurace datového konektoru.
Data XDR Microsoft Sentinel
XDR v programu Microsoft Defender ve výchozím nastavení uchovává data proaktivního vyhledávání hrozeb na úrovni Analytics po dobu 30 dnů. Tato data jsou vždy k dispozici. Některé tabulky XDR je možné ingestovat do úrovní analýzy a datového jezera zvýšením doby uchovávání na více než 30 dnů. Data XDR můžete také ingestovat přímo do vrstvy Data Lake bez úrovně analýzy. Další informace najdete v tématu Správa dat XDR v Microsoft Sentinelu.
Vlastní tabulky protokolů
Vlastní tabulky Microsoft Monitoring Agent (MMA) a Agent Log Analytics (CLV1) se zrcadlí do datového jezera.
Tabulky vytvořené pomocí rozhraní API pro příjem protokolů nebo agenta služby Azure Monitor (AMA) a vlastních tabulek založených na DCR se zrcadlí. Další informace najdete v tématu Protokoly rozhraní API pro příjem dat ve službě Azure Monitor.
Pomocné tabulky protokolů
Když připojíte Microsoft Defender i Microsoft Sentinel a pak se připojíte k datovému jezeře, neuvidíte pomocné tabulky protokolů v rozšířeném proaktivním vyhledávání v programu Microsoft Defender ani na portálu Microsoft Sentinel Azure Portal. Pomocná data tabulky jsou k dispozici v datovém jezeře a můžete je dotazovat pomocí dotazů KQL nebo poznámkových bloků Jupyter. Ve portálu Defender vyhledejte dotazy KQL> v rámci zkoumání datového jezera služby Microsoft Sentinel.
Přímý příjem dat do vrstvy Data Lake
V závislosti na potřebách zabezpečení vaší organizace se můžete rozhodnout ingestovat některé zdroje protokolů přímo do datového jezera. Přímé ingestování protokolů do datového jezera umožňuje lépe spravovat náklady optimalizací uchovávání dat a úložištěm na základě hodnoty dat pro detekci v reálném čase a dlouhodobé analýzy.
Ingestování vysoce objemových protokolů, které jsou méně důležité pro detekci v reálném čase, ale cenné pro hloubkovou analýzu a forenzní analýzy přímo do jezera a ingestování pouze vysoce hodnotných protokolů do analytické úrovně. Všimněte si, že protokoly ingestované do úrovně analýzy jsou také zrcadleny do datového jezera.
Pomocí následující tabulky určete, které zdroje byste měli upřednostnit pro přímé zpracování do datového jezera oproti analytické vrstvě.
| Typ zdroje protokolu | Typický objem logu | Hodnota detekce a upozorňování hrozeb v reálném čase | Hodnota proaktivního vyhledávání hrozeb | Hodnota pro vyšetřování incidentů a forenzní účely | Ingestování do data lake |
|---|---|---|---|---|---|
| AAA (TACACS/Radius) | Středně | High | High | High | Ano |
| Active Directory (místní) | High | High | High | High | Ne |
| Protokoly aplikací | High | Středně | Středně | High | Ano |
| Protokoly AV (události systému Windows 5000s a třetí strana) | Středně | High | High | High | Ne |
| Aktivita Azure | Středně | High | High | High | Ne |
| Protokoly systému biometrického přístupu | Low | Středně | Low | High | Ano |
| Vytváření protokolů systému zabezpečení | Low | Low | Low | Středně | Ano |
| Protokoly Call Center/VoIP záznamy | Středně | Low | Low | Středně | Ano |
| CASB | High | High | High | High | Ano |
| Citrix/Horizon/ALBs | Středně | Středně | Středně | High | Ano |
| Cloudová IAM | Středně | High | High | High | Ne |
| Cloud PaaS | High | High | High | High | Ano |
| Řízení zabezpečení cloudu | Středně | High | Středně | High | Ne |
| Protokoly z cloudového úložiště (S3, Blob, atd.) | High | High | High | High | Ne |
| Protokoly auditu CRM | Nízký-střední | Low | Low | Středně | Ano |
| Nástroje pro audit databáze | Středně | High | High | High | Ano |
| Protokoly DHCP | Středně | Středně | Středně | High | Ano |
| Upozornění DLP | Low | High | High | High | Ano |
| Protokoly DNS | High | High | High | High | Ano |
| Detekce a Odezva Koncových Bodů (EDR) (Výstrahy) | Středně | High | High | High | Ne |
| Detekce a odezva koncových bodů (EDR) (Raw) | High | High | High | High | Ano |
| Zabezpečení e-mailu (upozornění třetích stran) | Středně | High | Středně | High | Ne |
| Protokoly auditu ERP | Nízký-střední | Low | Low | Středně | Ano |
| Integrita souborů | Low | Středně | Středně | High | Ano |
| Hrozba brány firewall, malware, IPS/ IDS | High | High | High | High | Ne |
| Záznamy provozu brány firewall | High | High | High | High | Ano |
| Protokoly úložiště kódu (GitHub, GitLab nebo jiné úložiště) | Nízký-střední | Středně | Středně | High | Ano |
| Protokoly Google Workspace | Středně | Středně | Středně | High | Ano |
| Identita (Entra ID, Okta, LDAP) | Středně | High | High | High | Ne |
| SLUŽBA IIS/Protokoly Apache | Středně | High | High | High | Ano |
| Protokoly zařízení IoT | High | Středně | Středně | Středně | Ano |
| Kubernetes – Logy kontejnerů (hlášení, výstrahy a kritické) | High | High | High | High | Ne |
| Kubernetes / Protokoly kontejnerů (nezpracované protokoly) | High | High | High | High | Ano |
| Přepínač směrovače LAN/WAN | High | Středně | Středně | Středně | Ano |
| Auditd Linuxového serveru | Středně | High | High | High | Ne |
| Správa mobilních zařízení (Intune) | Středně | Středně | Středně | Středně | Ano |
| Protokoly Microsoft Office (Teams, Office, SharePoint) | Středně | Středně | Středně | High | Ne |
| Upozornění Microsoft XDR (Defender: Office, Identita, koncový bod, Cloudové aplikace) | Středně | High | High | High | Ne |
| Vícefaktorové ověřování (MFA) | Středně | High | Středně | High | Ne |
| Netflow | High | Středně | High | Středně | Ano |
| Detekce sítě (Corelight, Vectra, Darktrace) | High | High | High | High | Ne |
| Protokoly systému OT/ICS | Středně | High | High | High | Ano |
| PAM (Privileged Access Management) | Low | High | High | High | Ne |
| PIM (Privileged Identity Management) | Low | High | High | High | Ne |
| Systémové protokoly POS | High | High | High | High | Ano |
| Protokolování proxy serveru (filtrování adres URL) | High | High | High | High | Ano |
| Protokoly auditu Salesforce | Středně | Středně | Středně | High | Ano |
| SD-WAN | Středně | Středně | Středně | Středně | Ano |
| Protokoly auditu ServiceNow | Low | Low | Low | Středně | Ano |
| Protokoly platformy SIEM/SOAR | Středně | High | High | High | Ne |
| Záznamy spolupráce Slack/Teams | Středně | Low | Středně | Středně | Ano |
| Sysmon (koncový bod, doplněk EDR) | Středně | High | High | High | Ano |
| Indikátory analýzy hrozeb | Low | High | High | High | Ne |
| Protokoly VDI | Středně | Středně | Středně | High | Ano |
| síť VPN | Středně | High | High | High | Ne |
| Skenování zranitelností | Low | Středně | Středně | Středně | Ano |
| Záznamy firewallu webových aplikací (WAF) | Středně | High | High | High | Ano |
| Události Windows Serveru | High | High | High | High | Ne |
| Zdrojové protokoly XDR (Defender: Office, Identita, Koncový bod, CloudApp) | Středně | High | High | High | Ne |
| Protokoly schůzek Zoom | Nízký-střední | Low | Low | Středně | Ano |