Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
For Microsoft Sentinel arbejdsområder, der er forbundet til Defender, skal niveauinddeling og opbevaringsstyring udføres fra den nye tabeladministrationsoplevelse på Defender-portalen. Hvis du vil fjerne tilknytningen Microsoft Sentinel arbejdsområder, skal du fortsætte med at bruge de oplevelser, der er beskrevet nedenfor, til at administrere data i dine arbejdsområder.
Der er to konkurrerende aspekter af logindsamling og -opbevaring, der er afgørende for et vellykket program til trusselsregistrering. På den ene side vil du maksimere antallet af logkilder, du indsamler, så du har den mest omfattende sikkerhedsdækning. På den anden side skal du minimere de omkostninger, der påløber ved indtagelse af alle disse data.
Disse konkurrerende behov kræver en strategi til administration af logfiler, der afbalancerer tilgængeligheden af data, ydeevnen af forespørgsler og lageromkostninger.
I denne artikel beskrives kategorier af data og de opbevaringstilstande, der bruges til at gemme og få adgang til dine data. Den indeholder også en beskrivelse af de logniveauer Microsoft Sentinel giver dig mulighed for at oprette en strategi for administration og opbevaring af logfiler.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Kategorier af data, der indtages
Microsoft anbefaler, at data, der indtages, klassificeres i Microsoft Sentinel i to generelle kategorier:
Primære sikkerhedsdata er data, der indeholder en kritisk sikkerhedsværdi. Disse data bruges til proaktiv overvågning i realtid, planlagte beskeder og analyser til at registrere sikkerhedstrusler. Dataene skal være tilgængelige for alle Microsoft Sentinel oplevelser i næsten realtid.
Sekundære sikkerhedsdata er supplerende data, ofte i omfattende, detaljerede logge. Disse data har begrænset sikkerhedsværdi, men de kan give ekstra rigdom og kontekst til registreringer og undersøgelser, hvilket hjælper med at tegne det fulde billede af en sikkerhedshændelse. Det behøver ikke at være let tilgængeligt, men bør være tilgængeligt on-demand efter behov og i passende doser.
Primære sikkerhedsdata
Denne kategori består af logge, der indeholder vigtige sikkerhedsværdier for din organisation. De primære brugssager for sikkerhedsdata i forbindelse med sikkerhedshandlinger omfatter:
Hyppig overvågning. Regler for trusselsregistrering (analyse) køres på disse data med hyppige intervaller eller i næsten realtid.
On-demand jagt. Komplekse forespørgsler køres på disse data for at udføre interaktiv jagt på sikkerhedstrusler med høj ydeevne.
Korrelation. Data fra disse kilder er korreleret med data fra andre primære sikkerhedsdatakilder for at registrere trusler og oprette angrebshistorier.
Regelmæssig rapportering. Data fra disse kilder er let tilgængelige til kompilering i regelmæssige rapporter om organisationens sikkerhedstilstand for både sikkerheds- og generelle beslutningstagere.
Funktionsanalyse. Data fra disse kilder bruges til at oprette profiler for grundlæggende funktionsmåder for dine brugere og enheder, så du kan identificere outlying-funktionsmåder som mistænkelige.
Nogle eksempler på primære datakilder omfatter:
- Logge fra antivirus- eller enterprise detection and response-systemer (EDR)
- Godkendelseslogge
- Overvågningsspor fra cloudplatforme
- Trussels intelligence-feeds
- Beskeder fra eksterne systemer
Logge, der indeholder primære sikkerhedsdata, skal gemmes ved hjælp af analyseniveauet.
Sekundære sikkerhedsdata
Denne kategori omfatter logge, hvis individuelle sikkerhedsværdi er begrænset, men er afgørende for at give et omfattende overblik over en sikkerhedshændelse eller et brud. Disse logge er typisk store og kan være detaljerede. Use cases for sikkerhedshandlinger for disse data omfatter følgende:
Trusselsintelligens. Primære data kan kontrolleres i forhold til lister over indikatorer for kompromitteret (IoC) eller indikatorer for angreb (IoA) for hurtigt og nemt at registrere trusler.
Ad hoc-jagt/-undersøgelser. Data kan forespørges interaktivt i 30 dage, hvilket gør det lettere at analysere vigtige data for trusselsjagt og -undersøgelser.
Søgninger i stor skala. Data kan indtages og søges i baggrunden i petabyte-skala, samtidig med at de gemmes effektivt med minimal behandling.
Opsummering via KQL-job. Opsummer logge med stor mængde i samlede oplysninger, og gem resultaterne på analyseniveauet.
Nogle eksempler på sekundære datakilder er cloudlageradgangslogge, NetFlow-logge, TLS/SSL-certifikatlogge, firewalllogge, proxylogge og IoT-logge.
Til logge, der indeholder sekundære sikkerhedsdata, skal du bruge Microsoft Sentinel datasøen, som er designet til at tilbyde forbedret skalerbarhed, fleksibilitet og integrationsfunktioner til avancerede scenarier for sikkerhed og overholdelse af angivne standarder.
Logadministrationsniveauer
Microsoft Sentinel indeholder to forskellige loglagringsniveauer eller -typer, der passer til disse kategorier af data, der indtages.
Planen for analyseniveau er designet til at gemme primære sikkerhedsdata og gøre dem let og konstant tilgængelige med høj ydeevne.
Data lake-niveauet er optimeret til at gemme sekundære sikkerhedsdata omkostningseffektivt over længere perioder, samtidig med at tilgængeligheden bevares.
Analyseniveau
Analyseniveauet bevarer data i den interaktive opbevaringstilstand i 90 dage som standard, så de kan udvides i op til to år. Denne interaktive tilstand giver dig mulighed for at forespørge dine data på ubegrænset vis med høj ydeevne uden beregning pr. forespørgsel.
Niveau for datasø
Microsoft Sentinel datasø er en fuldt administreret, moderne datasø, der samler og bevarer sikkerhedsdata i stor skala, hvilket muliggør avancerede analyser på tværs af flere modaliteter og ai-agentisk drevet trusselsregistrering. Det giver sikkerhedsteams mulighed for at undersøge langsigtede trusler, forbedre beskeder og opbygge adfærdsmæssige grundlinjer ved hjælp af måneders data.
Når den samlede opbevaring er konfigureret til at være længere end opbevaringen af analyseniveauet, eller når opbevaringsperioden for analyseniveauet slutter, vil data, der er gemt ud over opbevaringen af analyseniveauet, fortsat være tilgængelige på data lake-niveauet.
Relateret indhold
- Du kan få mere at vide om Microsoft Sentinel datasø under Microsoft Sentinel datasø.
- Hvis du vil onboarde til Microsoft Sentinel datasø, skal du se Onboard data to Microsoft Sentinel data lake.