Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel Data Lake -tallennustilan avulla voit tallentaa ja analysoida suuren määrän, heikkolaatuisia lokeja, kuten palomuuri- tai DNS-tietoja, resurssien varastoja ja historiallisia tietueita enintään 12 vuoden ajan. Koska tallennustila ja käsittely erotetaan toisistaan, voit tehdä kyselyn samasta tietojen kopiosta useilla työkaluilla siirtämättä tai kopioimatta niitä.
Voit tutkia datajärven tietoja Kusto Query Languagen (KQL) ja Jupyter-muistikirjojen avulla, jotta voit tukea monia erilaisia skenaarioita uhkien metsästyksestä ja tutkimuksista rikastamiseen ja koneoppimiseen.
Tässä artikkelissa esitellään Data Lake -tietojen tutkimisen peruskäsitteet ja skenaariot, korostetaan yleisiä käyttötapauksia ja näytetään, miten tietoja käsitellään tuttujen työkalujen avulla.
Vuorovaikutteiset KQL-kyselyt
Käytä Kusto Query Languagea (KQL) vuorovaikutteisten kyselyiden suorittamiseen suoraan Data Lake -tallennustilassa useissa työtiloissa.
KQL:n avulla analyytikot voivat:
- Tutki ja vastaa historiallisten tietojen avulla: Käytä Data Lake -järjestelmän pitkäaikaisia tietoja rikosteknisten todisteiden keräämiseen, tapauksen tutkimiseen, kuvioiden havaitsemiseen ja tapausten vastaamiseen.
- Täydennä tutkimuksia suuren volyymin lokeilla: Hyödynnä Data Lake -järjestelmään tallennettuja meluisia tai heikkolaatuisia tietoja kontekstin ja syvyyden lisäämiseksi tietoturvatutkimuksiin.
- Korreloi resurssien ja lokien tiedot Data Lake -järjestelmässä: Kysele resurssien varastoja ja käyttäjätietolokeja yhdistääksesi käyttäjän toiminnan resursseihin ja paljastaaksesi laajemman hyökkäyksen.
Käytä Microsoft Sentinel Data Lake Exploration -kohdassa Defender-portaalissa> olevia KQL-kyselyitä ad-hoc-vuorovaikutteisten KQL-kyselyiden suorittamiseen suoraan pitkän aikavälin tiedoille. Data Lake -tutkiminen on käytettävissä , kun perehdytysprosessi on valmis. KQL-kyselyt sopivat erinomaisesti SOC-analyytikoille, jotka tutkivat tapauksia, joissa tiedot eivät ehkä enää sijaitse analytiikkatasolla. Kyselyt mahdollistavat rikosteknisen analyysin tutuilla kyselyillä kirjoittamatta koodia uudelleen. Aloita KQL-kyselyiden käyttö artikkelista Data Lake Exploration – KQL-kyselyt.
KQL-työt
KQL-työt ovat kerta- tai ajoitettuja asynkronisia KQL-kyselyitä Microsoft Sentinel Data Lake -tallennustilan tiedoille. Työt ovat hyödyllisiä esimerkiksi tutkiville ja analyyttisille skenaarioille;
- Pitkäaikaiset kertaluonteiset kyselyt tapaustutkimuksia ja tapausten käsittelyä varten
- Tietojen koostamistehtävät, jotka tukevat täydennystyönkulkuja heikkolaatuisten lokien avulla
- Historiauhkien älykkyyden (TI) vastaavat tarkistukset takautuvaa analyysia varten
- Poikkeamien tunnistamisen skannaukset, jotka tunnistavat epätavallisia malleja useissa taulukoissa
- Ylennä tiedot Data Lake -tallennustilasta analytiikkatasolle, jotta voit mahdollistaa tapausten tutkimisen tai lokikorrelaation.
Suorita kertaluonteisia KQL-töitä Data Lake -järjestelmässä tiettyjen historiallisten tietojen ylentämiseksi Data Lake -tasolta analytiikkatasolle tai luo mukautettuja yhteenvetotaulukoita Data Lake -tasolla. Tietojen ylentäminen on hyödyllistä pääsyyanalyysissa tai nollapäivän havaitsemisessa, kun tutkitaan tapauksia, jotka ulottuvat analytiikkatason ikkunan ulkopuolelle. Lähetä ajoitettu työ Data Lakeen, jos haluat automatisoida toistuvia kyselyitä poikkeavuuksien havaitsemiseksi tai luoda perusaikatauluja historiallisten tietojen avulla. Uhkien metsästäjät voivat tämän avulla seurata epätavallisia malleja ajan mittaan ja syöttää tuloksia tunnistuksia tai koontinäyttöjä varten. Lisätietoja on kohdassa Töiden luominen Microsoft Sentinel Data Lakessa ja Töiden hallinta Microsoft Sentinel Data Lakessa.
Tietojen visualisointi Microsoft Sentinel Data Lake -tallennustilassa työkirjojen avulla
Microsoft Sentinel työkirjojen avulla voit visualisoida ja valvoa tietoja Microsoft Sentinel Data Lake -järjestelmässä. Valitsemalla Sentinel Data Lake -tietolähteen työkirjan tietolähteeksi voit suorittaa KQL-kyselyjä suoraan Data Lake -järjestelmässä ja hahmontaa tulokset vuorovaikutteisina kaavioina ja taulukoina. Näin voit luoda koontinäyttöjä ja raportteja, jotka hyödyntävät Data Lake -järveen tallennettuja pitkän aikavälin ja suuren volyymin telemetriatietoja, mikä tekee siitä ihanteellisen kehittyneeseen uhkien metsästykseen, trendianalyysiin ja johdon raportointiin. Lisätietoja työkirjojen luomisesta Sentinel Data Lake -tallennustilan avulla on artikkelissa Tietojen visualisointi Microsoft Sentinel Data Lake -tallennustilassa työkirjojen avulla.
Tarkasteluskenaariot
Seuraavissa skenaarioissa havainnollistetaan, miten Microsoft Sentinel Data Lake -järjestelmän KQL-kyselyitä voidaan käyttää parantamaan suojaustoimintoja:
| Skenaario | Tiedot | Esimerkki |
|---|---|---|
| Tietoturvatapausten tutkiminen pitkän aikavälin historiallisten tietojen avulla | Suojausryhmien on usein mentävä oletus säilytysikkunaa pidemmälle paljastaakseen tapahtuman koko laajuuden. | Tason 3 SOC-analyytikko, joka tutkii raakaa voimahyökkäystä, käyttää KQL-kyselyjä Data Lakea vastaan yli 90 päivää vanhempien tietojen kyselemiseen. Kun analyytikko on tunnistanut epäilyttävän toiminnan yli vuosi sitten, hän ylentää havainnot analytiikkatasolle syvempää analysointia ja tapausten korrelaatiota varten. |
| Poikkeamien ja koontiversion käyttäytymisen perusaikataulujen tunnistaminen ajan kuluessa | Tunnistamisteknikot käyttävät historiallisia tietoja perustastojen muodostamiseen ja tunnistamaan malleja, jotka voivat viitata haitalliseen toimintaan. | Tunnistamisteknikko analysoi kirjautumislokeja useiden kuukausien ajan toimintapiikkien havaitsemiseksi. Ajoittamalla KQL-työn Data Lakeen he luovat aikasarjan perusaikataulun ja paljastavat tunnistetietojen väärinkäytön mallin. |
| Täydennä tutkimuksia suuren volyymin ja heikkolaatuisten lokien avulla | Jotkin lokit ovat liian meluisia tai laajoja analytiikkatasolle, mutta ne ovat silti arvokkaita tilannekohtaista analyysia varten. | SOC-analyytikot käyttävät KQL:ää kyselemään verkkoa ja vain Data Lakeen tallennettuja palomuurilokeja. Nämä lokit, vaikka ne eivät ole analysointitasolla, auttavat vahvistamaan hälytyksiä ja tarjoamaan tukitodisteita tutkimusten aikana. |
| Vastaaminen uusiin uhkiin joustavin tietotasoinnin avulla | Kun uusia uhkatietoja ilmenee, analyytikoiden on päästävä nopeasti käsiksi historiallisiin tietoihin ja toimittava niiden perusteella. | Uhkatietoanalyytikko reagoi äskettäin julkaistuun uhka-analytiikkaraporttiin suorittamalla ehdotetut KQL-kyselyt Data Lake -järjestelmässä. Kun olet löytänyt asiaankuuluvan toiminnan useita kuukausia sitten, pakollinen loki ylennetään analytiikkatasolle. Jotta reaaliaikainen tunnistaminen voidaan ottaa käyttöön tuleville tunnistuksille, tasojen määrittämiskäytäntöjä voidaan säätää asianmukaisissa taulukoissa vastaamaan uusimpia kirjautumistietoja analytiikkatasolle. |
| Resurssien tietojen tutkiminen lähteistä perinteisten suojauslokien lisäksi | Täydennä tutkimusta käyttämällä resurssivarastoa, kuten Microsoft Entra ID objekteja ja Azure resursseja. | Analyytikot voivat KQL:n avulla kysellä käyttäjätietoja ja resurssiresurssien tietoja, kuten Microsoft Entra ID käyttäjiä, sovelluksia, ryhmiä tai Azure resurssivarastoja, korreloidakseen lokit laajempaan kontekstiin, joka täydentää olemassa olevia suojaustietoja. |