Sdílet prostřednictvím

Co je datové jezero Microsoft Sentinelu?

Microsoft Sentinel Data Lake je účelově sestavené datové jezero zabezpečení, nativní pro cloud, které transformuje způsob správy a analýzy dat zabezpečení v organizacích. Navržený jako skutečné datové jezero, přijímá, ukládá a analyzuje velké objemy různorodých bezpečnostních dat ve velkém měřítku. Díky centralizaci dat zabezpečení do jediné otevřené, rozšiřitelné platformy poskytuje hloubkovou viditelnost, dlouhodobé uchovávání a pokročilou analýzu.

Datové jezero umožňuje efektivně přenést všechna data o zabezpečení do Služby Microsoft Sentinel a tím odstranit nutnost výběru mezi pokrytím a náklady. Můžete uchovávat více dat po delší dobu, detekovat hrozby s větší kontextovou a historickou hloubkou a rychleji reagovat bez ohrožení zabezpečení.

Datové jezero Microsoft Sentinel je plně spravované, takže nemusíte nasazovat ani udržovat datnou infrastrukturu. Poskytuje jednotnou datovou platformu pro komplexní analýzu hrozeb a reakci. Ukládá jednu kopii dat zabezpečení mezi prostředky, protokoly aktivit a analýzu hrozeb v jezeře a využívá několik analytických nástrojů, jako jsou KQL a poznámkové bloky Jupyter pro hloubkovou analýzu zabezpečení.

Tradiční řešení SIEM se potýkají s náklady a složitostí ukládání a dotazování dlouhodobých dat zabezpečení. Microsoft Sentinel Data Lake řeší tyto výzvy následujícími způsoby:

  • Sjednocení dat zabezpečení napříč Microsoft Defender XDR, zdroji a prostředky třetích stran, záznamy aktivit a informacemi o hrozbách
  • Optimalizace nákladů pomocí vrstveného úložiště, propagace dat na vyžádání a udržování jediné kopie dat
  • Umožnění podrobných přehledů zabezpečení díky až 12 letům dat o zabezpečení a telemetrických údajů, které můžete procházet a analyzovat.
  • Výkon umělé inteligence a automatizace pro rychlejší detekci a odezvu

S jednou kopií dat můžete pomocí jazyka KQL spouštět dotazy a poznámkové bloky Jupyter se sofistikovanými knihovnami Pythonu a nástroji strojového učení pro hlubší analýzu forenzích, reakce na incidenty a detekce anomálií.

Architecture

Microsoft Sentinel Data Lake založený na škálovatelné infrastruktuře Azure usnadňuje centralizovaný příjem dat, analýzu a akci napříč různými zdroji dat. Technická architektura služby Microsoft Sentinel Data Lake zahrnuje následující klíčové výhody:

  • Otevřené formáty datových souborů Parquet pro interoperabilitu a rozšiřitelnost
  • Jedna kopie dat pro efektivní a nákladově efektivní úložiště
  • Oddělení úložiště a výpočetních prostředků pro větší flexibilitu
  • Podpora více analytických nástrojů pro odemčení přehledů z bezpečnostních dat.
  • Nativní integrace se SIEM Microsoft Sentinel a jeho workflow bezpečnostních operací

Úrovně úložiště

Microsoft Sentinel je navržený se dvěma různými úrovněmi úložiště pro optimalizaci nákladů a výkonu:

  • Analytická úroveň: Stávající datová vrstva Služby Microsoft Sentinel, která podporuje pokročilé proaktivní vyhledávání, upozorňování a správu incidentů, které vám pomůžou proaktivně identifikovat a řešit problémy v celé infrastruktuře a aplikacích. Tato úroveň je navržená pro vysoce výkonné analýzy a zpracování dat v reálném čase.
  • Úroveň Data Lake: Poskytuje centralizované dlouhodobé úložiště pro dotazování a pokročilé analýzy založené na Pythonu. Je navržená pro nákladově efektivní uchovávání velkých objemů dat zabezpečení po dobu až 12 let. Data v analytické vrstvě se zrcadlí na vrstvě jezera a zachová se jedna kopie dat.

Další informace o datových vrstvách a uchovávání najdete v tématu Správa datových vrstev a uchovávání na portálu Microsoft Defender.

Podporované zdroje dat

Microsoft Sentinel Data Lake funguje se všemi existujícími datovými konektory sentinelu, mezi které patří:

  • Všechny zdroje dat v programu Microsoft Defender a Microsoft Sentinel
  • Microsoft 365
  • Microsoft Entra ID
  • Microsoft Resource Graph
  • Platformy detekce a odezvy koncových bodů (EDR)
  • Protokoly brány firewall a sítě
  • Telemetrie cloudové infrastruktury a úloh
  • Protokoly identit a přístupu (Microsoft Entra, Okta atd.)
  • Telemetrie DNS, proxy serveru a e-mailu

Flexibilní dotazování pomocí dotazovacího jazyka Kusto

Dotazy Kusto dotazovacího jazyka (KQL) umožňují psát a spouštět dotazy na prostředcích datového jezera. Pomocí editoru dotazů můžete zkoumat data, analyzovat jezero a vytvářet úlohy, které propagují data z datového jezera na analytickou úroveň. Dotazy KQL nabízejí následující klíčové funkce:

  • Editor dotazů KQL: Poskytuje úpravy a spouštění dotazů KQL pomocí IntelliSense a automatického dokončování.
  • Úplná podpora pro KQL: Využijte celou řadu funkcí KQL, včetně funkcí strojového učení a pokročilých analýz.
  • Vytvoření úlohy: Vytvořte jednorázové nebo naplánované úlohy pro přenos dat z datového jezera do analytické vrstvy.

Další informace najdete v tématu KQL a Microsoft Sentinel Data Lake.

Snímek obrazovky editoru dotazů KQL v datovém jezeře Microsoft Sentinelu

Výkonné analýzy s využitím poznámkových bloků Jupyter

Poznámkové bloky Jupyter v datovém jezeře Microsoft Sentinel nabízejí výkonné prostředí pro analýzu dat a strojové učení. Pomocí knihoven Pythonu můžete vytvářet a spouštět modely strojového učení, provádět pokročilé analýzy a vizualizovat data. Poznámkové bloky podporují bohaté vizualizace, které vám umožní získat přehledy z údajů o zabezpečení. Naplánujte poznámkové bloky tak, aby pravidelně shrnuly data, spouštěly modely strojového učení a podporovaly data z úrovně Data Lake na analytickou úroveň.

Další informace najdete v poznámkových blocích Jupyter v datovém jezeře Microsoft Sentinelu.

Snímek obrazovky poznámkového bloku Jupyter zobrazující analýzu a vizualizaci dat

Audit činností

Datové jezero Microsoft Sentinelu poskytuje auditování, které sleduje aktivity v jezeře. Protokol auditu zaznamenává přístup k datům, správu úloh a události dotazů a umožňuje monitorovat a zkoumat aktivity.

Mezi auditované aktivity patří:

  • Přístup k datům v jezeře pomocí dotazů KQL
  • Spouštění poznámkových bloků v datovém jezeře
  • Vytváření, úpravy, spouštění a odstraňování úloh

Auditování je ve výchozím nastavení povolené pro datové jezero Microsoft Sentinelu. Auditované akce se zobrazují v protokolu auditu.

Další informace o auditovaných aktivitách data Lake najdete v protokolu auditu pro Microsoft Sentinel Data Lake.

Podporované oblasti

Informace o podporovaných oblastech najdete v oblastech podporovaných pro Data Lake služby Microsoft Sentinel .

Začínáme

Pokud chcete začít s datovým jezerem Microsoft Sentinel, postupujte podle těchto kroků v průvodci zaškolením. Další informace o používání služby Microsoft Sentinel Data Lake najdete v následujících článcích:

  • Last updated on