Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Microsoft Sentinel Data Lake können Sie Protokolle mit hohem Volumen und geringer Genauigkeit wie Firewall- oder DNS-Daten, Ressourcenbestände und Historische Datensätze bis zu 12 Jahre lang speichern und analysieren. Da Speicher und Compute entkoppelt sind, können Sie dieselbe Kopie von Daten mit mehreren Tools abfragen, ohne sie zu verschieben oder zu duplizieren.
Sie können Daten im Data Lake mithilfe von Kusto-Abfragesprache (KQL) und Jupyter Notebooks untersuchen, um eine Vielzahl von Szenarien zu unterstützen, von der Bedrohungssuche und -untersuchung bis hin zur Anreicherung und maschinellem Lernen.
In diesem Artikel werden die wichtigsten Konzepte und Szenarien der Data Lake-Untersuchung vorgestellt, gängige Anwendungsfälle hervorgehoben und die Interaktion mit Ihren Daten mithilfe vertrauter Tools veranschaulicht.
Interaktive KQL-Abfragen
Verwenden Sie Kusto-Abfragesprache (KQL), um interaktive Abfragen direkt im Data Lake über mehrere Arbeitsbereiche auszuführen.
Mit KQL können Analysten:
- Untersuchen und Reagieren mithilfe von Verlaufsdaten: Verwenden Sie langfristige Daten im Data Lake, um forensische Beweise zu sammeln, einen Vorfall zu untersuchen, Muster zu erkennen und auf Vorfälle zu reagieren.
- Anreichern von Untersuchungen mit Protokollen mit großem Volumen: Nutzen Sie im Data Lake gespeicherte laute oder low-fidelity-Daten, um Sicherheitsuntersuchungen Kontext und Tiefe zu verleihen.
- Korrelieren von Ressourcen- und Protokolldaten im Data Lake: Abfragen von Ressourcenbeständen und Identitätsprotokollen, um Benutzeraktivitäten mit Ressourcen zu verbinden und umfassendere Angriffe aufzudecken.
Verwenden Sie KQL-Abfragen unter Microsoft Sentinel>Data Lake-Erkundung im Defender-Portal, um interaktive Ad-hoc-KQL-Abfragen direkt für langfristige Daten auszuführen. Die Data Lake-Untersuchung ist verfügbar, nachdem der Onboardingprozess abgeschlossen wurde. KQL-Abfragen eignen sich ideal für SOC-Analysten, die Vorfälle untersuchen, bei denen sich Daten möglicherweise nicht mehr auf der Analyseebene befinden. Abfragen ermöglichen die forensische Analyse mithilfe vertrauter Abfragen, ohne Code neu zu schreiben. Informationen zu den ersten Schritten mit KQL-Abfragen finden Sie unter Data Lake-Erkundung – KQL-Abfragen.
KQL-Aufträge
KQL-Aufträge sind einmalige oder geplante asynchrone KQL-Abfragen für Daten im Microsoft Sentinel Data Lake. Aufträge sind z. B. für Untersuchungs- und Analyseszenarien nützlich.
- Lang andauernde einmalige Abfragen für Incidentuntersuchungen und Reaktion auf Vorfälle (IR)
- Datenaggregationsaufgaben, die Anreicherungsworkflows mit Protokollen mit niedriger Genauigkeit unterstützen
- Abgleichsscans für historische Bedrohungsintelligenz (Historical Threat Intelligence, TI) für retrospektive Analysen
- Anomalieerkennungsscans, die ungewöhnliche Muster in mehreren Tabellen identifizieren
- Höherstufen von Daten aus dem Data Lake auf die Analyseebene, um die Untersuchung von Vorfällen oder die Protokollkorrelation zu ermöglichen.
Führen Sie einmalige KQL-Aufträge für den Data Lake aus, um bestimmte Verlaufsdaten aus der Data Lake-Ebene auf die Analyseebene hochzustufen, oder erstellen Sie benutzerdefinierte Zusammenfassungstabellen auf der Data Lake-Ebene. Das Höherstufen von Daten ist nützlich für die Ursachenanalyse oder die Zero-Day-Erkennung bei der Untersuchung von Vorfällen, die sich über das Analyseebenenfenster erstrecken. Übermitteln Sie einen geplanten Auftrag für Data Lake, um wiederkehrende Abfragen zu automatisieren, um Anomalien zu erkennen oder Baselines mithilfe von Verlaufsdaten zu erstellen. Bedrohungsjäger können dies verwenden, um im Laufe der Zeit auf ungewöhnliche Muster zu überwachen und Ergebnisse in Erkennungen oder Dashboards einzuspeisen. Weitere Informationen finden Sie unter Erstellen von Aufträgen im Microsoft Sentinel Data Lake und Verwalten von Aufträgen im Microsoft Sentinel Data Lake.
Visualisieren von Daten in Microsoft Sentinel Data Lake mithilfe von Arbeitsmappen
Sie können Microsoft Sentinel Arbeitsmappen verwenden, um Daten im Microsoft Sentinel Data Lake zu visualisieren und zu überwachen. Wenn Sie Sentinel Data Lake als Datenquelle in einer Arbeitsmappe auswählen, können Sie KQL-Abfragen direkt im Data Lake ausführen und die Ergebnisse als interaktive Diagramme und Tabellen rendern. Auf diese Weise können Sie Dashboards und Berichte erstellen, die langfristige, im Data Lake gespeicherte Telemetriedaten mit hohem Volumen nutzen, sodass sie sich ideal für die erweiterte Bedrohungssuche, Trendanalyse und Executive Reporting eignen. Weitere Informationen zum Erstellen von Arbeitsmappen mit Sentinel Data Lake finden Sie unter Visualisieren von Daten in Microsoft Sentinel Data Lake mithilfe von Arbeitsmappen.
Erkundungsszenarien
Die folgenden Szenarien veranschaulichen, wie KQL-Abfragen im Microsoft Sentinel Data Lake verwendet werden können, um Sicherheitsvorgänge zu verbessern:
| Szenario | Details | Beispiel |
|---|---|---|
| Untersuchen von Sicherheitsvorfällen mithilfe langfristiger Verlaufsdaten | Sicherheitsteams müssen häufig über das Standardaufbewahrungsfenster hinausgehen, um den gesamten Umfang eines Incidents aufzudecken. | Ein SOC-Analyst der Ebene 3, der einen Brute-Force-Angriff untersucht, verwendet KQL-Abfragen für den Data Lake, um Daten abzufragen, die älter als 90 Tage sind. Nachdem er vor über einem Jahr verdächtige Aktivitäten identifiziert hat, fördert der Analyst die Ergebnisse auf die Analyseebene, um eine tiefere Analyse und Incidentkorrelation zu ermöglichen. |
| Erkennen von Anomalien und Erstellen von Verhaltensbaselines im Laufe der Zeit | Erkennungstechniker verlassen sich auf Verlaufsdaten, um Baselines zu erstellen und Muster zu identifizieren, die auf böswilliges Verhalten hinweisen können. | Ein Erkennungstechniker analysiert Anmeldeprotokolle über mehrere Monate, um Aktivitätsspitzen zu erkennen. Durch die Planung eines KQL-Auftrags im Data Lake erstellen sie eine Zeitreihenbaseline und decken ein Muster auf, das mit dem Missbrauch von Anmeldeinformationen konsistent ist. |
| Anreichern von Untersuchungen mithilfe von Protokollen mit hohem Volumen und geringer Genauigkeit | Einige Protokolle sind für die Analyseebene zu laut oder zu umfangreich, aber für kontextbezogene Analysen immer noch nützlich. | SOC-Analysten verwenden KQL zum Abfragen von Netzwerk- und Firewallprotokollen, die nur im Data Lake gespeichert sind. Diese Protokolle sind zwar nicht auf der Analyseebene enthalten, helfen aber bei der Überprüfung von Warnungen und liefern unterstützende Beweise für Untersuchungen. |
| Reagieren auf neue Bedrohungen mit flexiblem Datentiering | Wenn neue Threat Intelligence-Informationen entstehen, müssen Analysten schnell auf Verlaufsdaten zugreifen und darauf reagieren. | Ein Threat Intelligence-Analyst reagiert auf einen neu veröffentlichten Threat Analytics-Bericht, indem er die vorgeschlagenen KQL-Abfragen im Data Lake ausführt. Nach der Ermittlung relevanter Aktivitäten von vor einigen Monaten wird das erforderliche Protokoll auf die Analyseebene heraufgestuft. Um die Echtzeiterkennung für zukünftige Erkennungen zu ermöglichen, können Tieringrichtlinien für die relevanten Tabellen angepasst werden, um Spiegel neuesten Protokolle in die Analyseebene zu integrieren. |
| Untersuchen von Ressourcendaten aus Quellen, die über herkömmliche Sicherheitsprotokolle hinausgehen | Erweitern Sie die Untersuchung mithilfe des Ressourcenbestands, z. B. Microsoft Entra ID Objekte und Azure Ressourcen. | Analysten können KQL verwenden, um Identitäts- und Ressourcenressourceninformationen wie Microsoft Entra ID Benutzer, Apps, Gruppen oder Azure Ressourcenbestände abzufragen, um Protokolle für einen breiteren Kontext zu korrelieren, der vorhandene Sicherheitsdaten ergänzt. |