Plány uchovávání protokolů v Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Existují dva konkurenční aspekty shromažďování protokolů a uchovávání, které jsou pro úspěšný program detekce hrozeb důležité. Na jedné straně chcete maximalizovat počet shromažďovaných zdrojů protokolů, abyste měli co nejkomplexnější možné pokrytí zabezpečení. Na druhou stranu je potřeba minimalizovat náklady vzniklé příjmem všech těchto dat.

Tyto konkurenční potřeby vyžadují strategii správy protokolů, která vyrovnává náklady na přístupnost dat, výkon dotazů a úložiště.

Tento článek popisuje kategorie dat a stavy uchovávání informací používané k ukládání a přístupu k datům. Popisuje také plány protokolů, které Microsoft Sentinel nabízí k vytvoření strategie správy protokolů a uchovávání informací.

Důležité

Typ protokolu pomocných protokolů je aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Kategorie přijatých dat

Microsoft doporučuje klasifikovat data přijatá do Microsoft Sentinelu do dvou obecných kategorií:

• Primární data zabezpečení jsou data, která obsahují kritickou hodnotu zabezpečení. Tato data slouží k proaktivnímu monitorování, plánovaným výstrahám a analýzám v reálném čase k detekci bezpečnostních hrozeb. Data musí být snadno dostupná pro všechna prostředí Microsoft Sentinelu téměř v reálném čase.

• Sekundární data zabezpečení jsou doplňková data, často ve velkých objemech podrobných protokolů. Tato data mají omezenou hodnotu zabezpečení, ale můžou poskytovat další bohatost a kontext detekce a vyšetřování, což pomáhá vykreslit úplný přehled incidentu zabezpečení. Nemusí být snadno dostupná, ale měla by být přístupná na vyžádání podle potřeby a v odpovídajících dávkách.

Primární data zabezpečení

Tato kategorie se skládá z protokolů, které obsahují kritickou hodnotu zabezpečení pro vaši organizaci. Primární data zabezpečení je možné popsat následujícími případy použití operací zabezpečení:

• Časté monitorování Pravidla detekce hrozeb (analýzy) se na těchto datech spouští v častých intervalech nebo téměř v reálném čase.

• Proaktivní vyhledávání na vyžádání. Na těchto datech se spouští složité dotazy, které provádějí interaktivní vysoce výkonné proaktivní vyhledávání bezpečnostních hrozeb.

• Korelace. Data z těchto zdrojů korelují s daty z jiných primárních zdrojů dat zabezpečení za účelem detekce hrozeb a sestavování scénářů útoku.

• Pravidelné vytváření sestav. Data z těchto zdrojů jsou snadno dostupná pro kompilaci do pravidelných sestav o stavu zabezpečení organizace, a to jak pro pracovníky v oblasti zabezpečení, tak pro obecné pracovníky s rozhodovací pravomocí.

• Analýza chování Data z těchto zdrojů se používají k vytvoření standardních profilů chování pro vaše uživatele a zařízení a umožňují identifikovat odlévané chování jako podezřelé.

Mezi příklady primárních zdrojů dat patří protokoly z antivirových systémů nebo systémů EDR (Enterprise Detection and Response), protokoly ověřování, záznamy auditu z cloudových platforem, informační kanály analýzy hrozeb a výstrahy z externích systémů.

Protokoly obsahující primární data zabezpečení by se měly ukládat pomocí plánu analytických protokolů popsaných dále v tomto článku.

Sekundární data zabezpečení

Tato kategorie zahrnuje protokoly, jejichž jednotlivé hodnoty zabezpečení jsou omezené, ale jsou nezbytné pro zajištění komplexního přehledu o incidentu zabezpečení nebo porušení zabezpečení. Tyto protokoly jsou obvykle velké a můžou být podrobné. Případy použití operací zabezpečení pro tato data zahrnují následující:

• Analýza hrozeb: Primární data je možné zkontrolovat v seznamech indikátorů ohrožení (IoC) nebo indikátorů útoku (IoA), aby bylo možné rychle a snadno detekovat hrozby.

• Ad hoc proaktivní vyhledávání/vyšetřování. Data je možné interaktivně dotazovat po dobu 30 dnů, což usnadňuje zásadní analýzu proaktivního vyhledávání hrozeb a vyšetřování.

• Vyhledávání ve velkém měřítku Data se dají ingestovat a prohledávat na pozadí v petabajtovém měřítku a zároveň efektivně ukládat s minimálním zpracováním.

• Shrnutí prostřednictvím souhrnných pravidel Shrňte protokoly s velkým objemem do agregovaných informací a výsledky uložte jako primární data zabezpečení. Další informace o souhrnných pravidlech najdete v tématu Agregace dat Služby Microsoft Sentinel pomocí souhrnných pravidel.

Mezi příklady sekundárních zdrojů protokolů dat patří protokoly přístupu ke cloudovému úložišti, protokoly NetFlow, protokoly certifikátů TLS/SSL, protokoly brány firewall, protokoly proxy serveru a protokoly IoT. Další informace o tom, jak každý z těchto zdrojů přináší hodnotu detekcí zabezpečení, aniž by to bylo potřeba po celou dobu, najdete v tématu Zdroje protokolů, které se mají použít pro příjem pomocných protokolů.

Protokoly obsahující sekundární data zabezpečení by se měly ukládat pomocí plánu pomocných protokolů (nyní ve verzi Preview) popsaného dále v tomto článku.

Pro možnost, která není ve verzi Preview, můžete místo toho použít základní protokoly .

Plány správy protokolů

Microsoft Sentinel poskytuje dva různé plány úložiště protokolů nebo typy pro přizpůsobení těchto kategorií přijatých dat.

• Plán protokolů Analýzy je navržený tak, aby ukládal primární data zabezpečení a byl snadno a trvale přístupný při vysokém výkonu.

• Plán pomocných protokolů je navržený tak, aby ukládal data sekundárního zabezpečení s velmi nízkými náklady po dlouhou dobu a zároveň umožňoval omezenou přístupnost.

• Třetí plán, základní protokoly, je předchůdcem pomocného plánu protokolů a lze ho použít jako náhradu, zatímco pomocný plán protokolů zůstává ve verzi Preview.

Každý z těchto plánů zachovává data ve dvou různých státech:

• Interaktivní stav uchovávání je počáteční stav, do kterého se data ingestují. Tento stav umožňuje různé úrovně přístupu k datům v závislosti na plánu a nákladech na tento stav se v závislosti na plánu značně liší.

• Dlouhodobý stav uchovávání uchovává starší data v původních tabulkách po dobu až 12 let bez ohledu na plán.

Další informace o stavech uchovávání najdete v tématu Správa uchovávání dat v pracovním prostoru služby Log Analytics.

Následující diagram shrnuje a porovnává tyto dva plány správy protokolů.

Plán protokolů analýzy

Plán protokolů analýzy uchovává data ve výchozím nastavení v interaktivním stavu uchovávání po dobu 90 dnů , rozšiřitelné po dobu až dvou let. Tento interaktivní stav, i když nákladný, umožňuje dotazovat se na data neomezeným způsobem s vysokým výkonem bez poplatků za dotaz.

Když interaktivní doba uchovávání skončí, data přejdou do dlouhodobého stavu uchovávání a zůstanou v původní tabulce. Doba dlouhodobého uchovávání není ve výchozím nastavení definována, ale můžete ji definovat tak, aby trvala až 12 let. Tento stav uchovávání uchovává vaše data s extrémně nízkými náklady pro účely dodržování právních předpisů nebo interních zásad. K datům v tomto stavu můžete přistupovat pouze pomocí úlohy vyhledávání nebo obnovení k načtení omezených sad dat do nové tabulky v interaktivním uchovávání, kde můžete přenést úplné možnosti dotazu, které na něj mají být.

Pomocný plán protokolů

Plán pomocných protokolů uchovává data v interaktivním stavu uchovávání po dobu 30 dnů. V pomocném plánu má tento stav ve srovnání s plánem Analýzy velmi nízké náklady na uchovávání. Možnosti dotazů jsou ale omezené: dotazy se účtují za gigabajt naskenovaných dat a jsou omezené na jednu tabulku a výkon je výrazně nižší. I když tato data zůstávají ve stavu interaktivního uchovávání, můžete na těchto datech spouštět souhrnná pravidla pro vytváření tabulek agregace, souhrnných dat v plánu protokolů Analytics, abyste měli pro tato agregovaná data úplné možnosti dotazů.

Po skončení interaktivní doby uchovávání data přejdou do dlouhodobého stavu uchovávání , který zůstane v původní tabulce. Dlouhodobé uchovávání v pomocném plánu protokolů je podobné dlouhodobému uchovávání v plánu analytických protokolů s tím rozdílem, že jedinou možností pro přístup k datům je úloha vyhledávání. Obnovení není podporováno pro pomocný plán protokolů.

Plán základních protokolů

Třetí plán, označovaný jako základní protokoly, poskytuje podobné funkce jako pomocný plán protokolů, ale s vyššími náklady na interaktivní uchovávání (i když ne tak vysoké jako plán analytických protokolů). I když pomocný plán protokolů zůstává ve verzi Preview, můžou být základní protokoly možností dlouhodobého, nízkého uchovávání, pokud vaše organizace nepoužívá funkce preview. Další informace o plánu základních protokolů najdete v tématu Plány tabulek v dokumentaci ke službě Azure Monitor.

Související obsah

• Podrobnější porovnání datových plánů protokolů a obecnější informace o typech protokolů najdete v přehledu protokolů služby Azure Monitor | Plány tabulek

• Pokud chcete nastavit tabulku v plánu pomocných protokolů, přečtěte si téma Nastavení tabulky s pomocným plánem v pracovním prostoru služby Log Analytics (Preview).

• Další informace o obdobích uchovávání informací ( které existují napříč plány) najdete v tématu Správa uchovávání dat v pracovním prostoru služby Log Analytics.