Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Microsoft Sentinel Data-Lake spiegelt Daten aus Microsoft Sentinel-Arbeitsbereichen wider. Wenn Sie ein Onboarding im Microsoft Sentinel-Datenlake durchführen, werden Ihre vorhandenen Microsoft Sentinel-Datenconnectors so konfiguriert, dass sie Daten sowohl an die Analyse-Tier und Ihre Microsoft Sentinel-Arbeitsbereiche senden, als auch die Daten zur langfristigen Speicherung auf die Datenlake-Ebene spiegeln. Konfigurieren Sie nach dem Onboarding Ihre Connectors so, dass Daten in jeder Ebene gemäß Ihren Anforderungen aufbewahrt werden.
In diesem Artikel wird erläutert, wie Sie Connectors für den Microsoft Sentinel-Datensee einrichten und die Aufbewahrung konfigurieren. Weitere Informationen zum Onboarding finden Sie unter Onboarding in den Microsoft Sentinel Data Lake.
Aufbewahrung und Datenstufung konfigurieren
Nach dem Onboarding können Sie neue Konnektoren aktivieren und die Speicherungseinstellungen für vorhandene Konnektoren konfigurieren. Sie können wählen, die Daten an die Analytics-Ebene zu senden und die Daten an die Data Lake-Ebene zu spiegeln oder die Daten nur an die Data Lake-Ebene zu senden. Sie verwalten Aufbewahrung und Tiering über die Connectoreinrichtungsseiten oder über die Tabellenverwaltungsseite im Defender-Portal. Weitere Informationen zur Tabellenverwaltung und -aufbewahrung finden Sie unter Verwalten von Datenebenen und Aufbewahrung im Microsoft Defender-Portal.
Wenn Sie einen Konnektor aktivieren, werden die Daten standardmäßig an die Analytics-Ebene gesendet und parallel in der Data-Lake-Ebene gespiegelt. Wenn Sie Microsoft Sentinel Data Lake aktivieren, wird die Spiegelung automatisch ab der Bereitstellung für alle Tabellen aktiviert. Gespiegelte Daten im Data Lake mit der gleichen Aufbewahrung wie die Analyseebene verursachen keine zusätzlichen Abrechnungsgebühren. Bereits vorhandene Daten in den Tabellen werden nicht gespiegelt. Die Aufbewahrung der Data Lake-Ebene wird auf denselben Wert wie die Analyseebene festgelegt. Sie können nur auf die Speicherung von Daten in der Data-Lake-Ebene wechseln. Wenn Sie die Aufnahme nur auf die Data Lake-Ebene konfigurieren, wird die Aufnahme in die Analyseebene beendet, und die vorhandenen Daten in der Analyseebene werden gemäß den Aufbewahrungseinstellungen beibehalten.
Die im Archiv aufbewahrten Daten sind weiterhin verfügbar und können mithilfe von Such- und Wiederherstellungsfunktionen wiederhergestellt werden.
Informationen zum Konfigurieren der Aufbewahrung und Stufen für den Datenconnector finden Sie unter Konfigurieren des Datenconnectors.
Microsoft Sentinel XDR-Daten
Standardmäßig speichert Microsoft Defender XDR Daten zur Bedrohungssuche in der Analyseebene 30 Tage lang. Diese Daten sind immer verfügbar. Einige XDR-Tabellen können in die Analyse- und Data Lake-Ebenen aufgenommen werden, indem die Aufbewahrungszeit auf mehr als 30 Tage erhöht wird. Sie können XDR-Daten auch direkt in der Data Lake-Ebene ohne die Analyseebene erfassen. Weitere Informationen finden Sie unter Verwalten von XDR-Daten in Microsoft Sentinel.
Benutzerdefinierte Protokolltabellen
Benutzerdefinierte Tabellen des Microsoft Monitoring Agent(MMA) und des Log Analytics Agent (CLV1) werden nicht auf den Data Lake gespiegelt.
Tabellen, die mit der Log-Ingestion-API oder dem Azure Monitor Agent (AMA) und benutzerdefinierten Tabellen auf DCR-Basis erstellt werden, werden gespiegelt. Weitere Informationen finden Sie unter Protokollerfassungs-API in Azure Monitor.
Hilfsprotokolltabellen
Wenn Sie das Onboarding sowohl für Microsoft Defender als auch für Microsoft Sentinel und dann für Data Lake durchführen, werden Hilfsprotokolltabellen nicht mehr in der erweiterten Bedrohungssuche von Microsoft Defender oder im Azure-Portal von Microsoft Sentinel angezeigt. Die Hilfstabellendaten sind im Datensee verfügbar, und Sie können sie mithilfe von KQL-Abfragen oder Jupyter-Notizbüchern abfragen. Suchen Sie KQL-Abfragen unter Microsoft Sentinel>Data Lake-Erkundung im Defender-Portal.
Direkte Aufnahme in die Data Lake-Schicht
Je nach sicherheitsrelevanten Anforderungen Ihrer Organisation können Sie einige Protokollquellen direkt in den Datensee aufnehmen. Durch die direkte Erfassung von Protokollen an den Data Lake können Sie die Kosten besser verwalten, indem Sie die Datenaufbewahrung und -speicherung basierend auf dem Wert der Daten für die Echtzeiterkennung im Vergleich zur langfristigen Analyse optimieren.
Erfassen Sie Protokolle mit hohem Volumen, die für die Echtzeiterkennung weniger kritisch sind, aber für umfassende Analysen und Forensiken direkt am See nützlich sind, und erfassen Sie nur hochwertige Protokolle auf der Analyseebene. Beachten Sie, dass Protokolle, die in die Analyseebene aufgenommen werden, auch auf den Data Lake gespiegelt werden.
Verwenden Sie die folgende Tabelle, um zu priorisieren, welche Quellen Sie direkt in den Datensee aufnehmen sollten, im Vergleich zur Analyseebene.
| Protokollquelltyp | Typisches Protokollvolume | Wert für die Erkennung und Warnung von Bedrohungen in Echtzeit | Wert für die Bedrohungssuche | Wert für Incident-Untersuchungen und Forensik | Daten in Data Lake importieren |
|---|---|---|---|---|---|
| AAA (TACACS/Radius) | Mittelstufe | High | High | High | Yes |
| Active Directory (lokal vor Ort) | High | High | High | High | Nein |
| Anwendungsprotokolle | High | Mittelstufe | Mittelstufe | High | Yes |
| AV-Protokolle (Windows-Ereignisse 5000 und Drittanbieter) | Mittelstufe | High | High | High | Nein |
| Azure-Aktivität | Mittelstufe | High | High | High | Nein |
| Protokolle des biometrischen Zugriffssystems | Low | Mittelstufe | Low | High | Yes |
| Erstellen von Sicherheitssystemprotokollen | Low | Low | Low | Mittelstufe | Yes |
| Anrufcenter-/VoIP-Protokolle | Mittelstufe | Low | Low | Mittelstufe | Yes |
| CASB | High | High | High | High | Yes |
| Citrix/Horizon/ALBs | Mittelstufe | Mittelstufe | Mittelstufe | High | Yes |
| Cloud IAM | Mittelstufe | High | High | High | Nein |
| Cloud PaaS | High | High | High | High | Yes |
| Cloud-Sicherheitskontrollen | Mittelstufe | High | Mittelstufe | High | Nein |
| Cloudspeicher (S3, Blob usw.) Protokolle | High | High | High | High | Nein |
| CRM-Überwachungsprotokolle | Niedrig-Mittel | Low | Low | Mittelstufe | Yes |
| Datenbanküberwachungstools | Mittelstufe | High | High | High | Yes |
| DHCP-Protokolle | Mittelstufe | Mittelstufe | Mittelstufe | High | Yes |
| DLP-Warnungen | Low | High | High | High | Yes |
| DNS-Protokolle | High | High | High | High | Yes |
| Endpunkterkennung und -reaktion (EDR) (Warnungen) | Mittelstufe | High | High | High | Nein |
| Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR) (Rohdaten) | High | High | High | High | Yes |
| E-Mail-Sicherheit (Warnungen von Drittanbietern) | Mittelstufe | High | Mittelstufe | High | Nein |
| ERP-Überwachungsprotokolle | Niedrig-Mittel | Low | Low | Mittelstufe | Yes |
| Dateiintegrität | Low | Mittelstufe | Mittelstufe | High | Yes |
| Firewall-Bedrohung/Schadsoftware/IPS/IDS | High | High | High | High | Nein |
| Firewalldatenverkehrsprotokolle | High | High | High | High | Yes |
| GitHub/GitLab/Code-Depot-Protokolle | Niedrig-Mittel | Mittelstufe | Mittelstufe | High | Yes |
| Google Workspace-Protokolle | Mittelstufe | Mittelstufe | Mittelstufe | High | Yes |
| Identity (Entra ID, Okta, LDAP) | Mittelstufe | High | High | High | Nein |
| IIS/Apache-Protokolle | Mittelstufe | High | High | High | Yes |
| IoT-Geräteprotokolle | High | Mittelstufe | Mittelstufe | Mittelstufe | Yes |
| Kubernetes/Container-Logs (warnend, kritisch) | High | High | High | High | Nein |
| Kubernetes/Containerprotokolle (rohe Protokolle) | High | High | High | High | Yes |
| LAN/WAN-Router-Schalter | High | Mittelstufe | Mittelstufe | Mittelstufe | Yes |
| Linux Server AuditD | Mittelstufe | High | High | High | Nein |
| Verwaltung mobiler Geräte (Intune) | Mittelstufe | Mittelstufe | Mittelstufe | Mittelstufe | Yes |
| Microsoft Office-Protokolle (Teams, Office, SharePoint) | Mittelstufe | Mittelstufe | Mittelstufe | High | Nein |
| Microsoft XDR-Warnungen (Defender: Office, Identität, Endpunkt, Cloud-Anwendung) | Mittelstufe | High | High | High | Nein |
| Multi-Faktor-Authentifizierung (MFA) | Mittelstufe | High | Mittelstufe | High | Nein |
| Netflow | High | Mittelstufe | High | Mittelstufe | Yes |
| Netzwerkerkennung (Corelight, Vectra, Darktrace) | High | High | High | High | Nein |
| OT/ICS-Systemprotokolle | Mittelstufe | High | High | High | Yes |
| PAM (Privileged Access Management) | Low | High | High | High | Nein |
| PIM (Privileged Identity Management) | Low | High | High | High | Nein |
| POS-Systemprotokolle | High | High | High | High | Yes |
| Proxyprotokollierung (URL-Filterung) | High | High | High | High | Yes |
| Salesforce-Überwachungsprotokolle | Mittelstufe | Mittelstufe | Mittelstufe | High | Yes |
| SD-WAN | Mittelstufe | Mittelstufe | Mittelstufe | Mittelstufe | Yes |
| ServiceNow-Überwachungsprotokolle | Low | Low | Low | Mittelstufe | Yes |
| SIEM/SOAR-Plattformprotokolle | Mittelstufe | High | High | High | Nein |
| Slack/Teams-Zusammenarbeitsprotokolle | Mittelstufe | Low | Mittelstufe | Mittelstufe | Yes |
| Sysmon (Endpunkt für EDR-Ergänzung) | Mittelstufe | High | High | High | Yes |
| Threat Intelligence-Indikatoren | Low | High | High | High | Nein |
| VDI-Protokolle | Mittelstufe | Mittelstufe | Mittelstufe | High | Yes |
| VPN | Mittelstufe | High | High | High | Nein |
| Überprüfung auf Sicherheitsrisiken | Low | Mittelstufe | Mittelstufe | Mittelstufe | Yes |
| Protokolle der Webanwendungsfirewall (WAF) | Mittelstufe | High | High | High | Yes |
| Windows Server-Ereignisse | High | High | High | High | Nein |
| XDR-Quellprotokolle (Defender: Office, Identität, Endpunkt, Cloud-App) | Mittelstufe | High | High | High | Nein |
| Vergrößern von Besprechungsprotokollen | Niedrig-Mittel | Low | Low | Mittelstufe | Yes |