Szerkesztés

Megosztás a következőn keresztül:

Hosszú távú biztonsági naplómegőrzés az Azure Data Explorerrel

Azure Data Explorer
Azure Data Lake Storage
Azure Event Hubs
Azure Log Analytics
Microsoft Sentinel

Ez a megoldás hosszú távon tárolja a biztonsági naplókat az Azure Data Explorerben. Ez a megoldás minimalizálja a költségeket, és egyszerű hozzáférést biztosít az adatok lekérdezéséhez.

A Grafana és a Jupyter Notebook a megfelelő vállalatok védjegyei. E védjegyek használata nem utal jóváhagyásra.

Architektúra

Architektúradiagram a biztonsági naplók adatainak folyamatáról. A fő összetevők közé tartozik a Rövid távú adatokhoz készült Sentinel és az Azure Data Explorer a hosszú távú tároláshoz.

Töltse le az architektúra Visio-fájlját.

Adatfolyam

  1. A SIEM és a SOAR esetében egy vállalat a Sentinel és a Defender for Endpoint szolgáltatást használja.

  2. A Defender for Endpoint natív funkciókkal exportál adatokat az Azure Event Hubsba és az Azure Data Lake-be. A Sentinel betölti a Defender for Endpoint-adatokat az eszközök monitorozásához.

  3. A Sentinel a Log Analyticst használja adatplatformként az Adatok Event Hubsba és az Azure Data Lake-be való exportálásához.

  4. Az Azure Data Explorer az Event Hubs, az Azure Blob Storage és az Azure Data Lake Storage összekötőit használja az adatok alacsony késéssel és nagy átviteli sebességgel való betöltéséhez. Ez a folyamat az Azure Event Gridet használja, amely elindítja az Azure Data Explorer betöltési folyamatát.

  5. Szükség esetén az Azure Data Explorer folyamatosan exportálja a biztonsági naplókat az Azure Storage-ba. Ezek a naplók tömörített, particionált Parquet formátumban vannak, és készen állnak a lekérdezésre.

  6. A jogszabályi követelmények betartása érdekében az Azure Data Explorer előre összesített adatokat exportál a Data Lake Storage-ba archiválás céljából.

  7. A Log Analytics és a Sentinel támogatja a szolgáltatásközi lekérdezéseket az Azure Data Explorerrel. Az SOC-elemzők ezt a képességet használják a biztonsági adatok teljes körű vizsgálatára.

  8. Az Azure Data Explorer natív képességeket biztosít az adatok feldolgozásához, összesítéséhez és elemzéséhez.

  9. A különböző eszközök közel valós idejű elemzési irányítópultokat biztosítanak, amelyek gyorsan szolgáltatnak elemzéseket:

Összetevők

  • A Defender for Endpoint védelmet nyújt a szervezeteknek az eszközök, identitások, alkalmazások, e-mailek, adatok és felhőbeli számítási feladatok fenyegetései ellen.

  • A Sentinel egy natív felhőalapú SIEM- és SOAR-megoldás. Fejlett AI- és biztonsági elemzéseket használ a vállalatok fenyegetéseinek észlelésére, keresésére, megelőzésére és elhárítására.

  • A Monitor egy szolgáltatásként nyújtott szoftver (SaaS), amely összegyűjti és elemzi a környezetekre és az Azure-erőforrásokra vonatkozó adatokat. Ezek az adatok alkalmazástelemetria, például teljesítménymetrikák és tevékenységnaplók. A Monitor riasztási funkciókat is kínál.

  • A Log Analytics egy monitorozási szolgáltatás, amellyel lekérdezheti és megvizsgálhatja a Monitor naplóadatait. A Log Analytics emellett a lekérdezési eredmények diagramkészítéséhez és statisztikai elemzéséhez is kínál funkciókat.

  • Az Event Hubs egy teljes mértékben felügyelt, valós idejű adatbetöltési szolgáltatás, amely egyszerű és méretezhető.

  • A Data Lake Storage egy méretezhető tárház, amely nagy mennyiségű adatot tárol natív, nyers formátumban. Ez a data lake a Blob Storage-ra épül, és az adatok tárolására és feldolgozására szolgál.

  • Az Azure Data Explorer egy gyors, teljes mértékben felügyelt és nagy mértékben skálázható adatelemzési platform. Ezt a felhőszolgáltatást nagy mennyiségű adat valós idejű elemzéséhez használhatja. Az Azure Data Explorer interaktív, alkalmi lekérdezésekhez van optimalizálva. Különböző adatfolyamokat képes kezelni alkalmazásokból, webhelyekről, IoT-eszközökről és más forrásokból.

  • Az Azure Data Explorer-irányítópultok natív módon importálják az adatokat az Azure Data Explorer webes felhasználói felületi lekérdezéseiből. Ezek az optimalizált irányítópultok lehetővé teszik a lekérdezési eredmények megjelenítését és felderítését.

Alternatívák

  • A biztonsági naplók hosszú távú tárolásához az Azure Data Explorer helyett használhatja a Storage szolgáltatást. Ez a megközelítés leegyszerűsíti az architektúrát, és segít szabályozni a költségeket. Hátránya, hogy újra kell hidratálni a naplókat a biztonsági auditokhoz és az interaktív vizsgálati lekérdezésekhez. Az Azure Data Explorerrel egy házirend módosításával áthelyezheti az adatokat a hideg partícióról a gyakori elérésű partícióra. Ez a funkció felgyorsítja az adatfeltárást.

  • Ezzel a megoldással egy másik lehetőség, hogy az összes adatot a biztonsági értékétől függetlenül egyszerre küldi el a Sentinelnek és az Azure Data Explorernek. Néhány duplikálási eredmény, de a költségmegtakarítás jelentős lehet. Mivel az Azure Data Explorer hosszú távú tárolást biztosít, ezzel a módszerrel csökkentheti a Sentinel megőrzési költségeit.

  • A Log Analytics jelenleg nem támogatja az egyéni naplótáblák exportálását. Ebben a forgatókönyvben az Azure Logic Apps használatával exportálhat adatokat a Log Analytics-munkaterületekről. További információ: Adatok archiválása a Log Analytics-munkaterületről az Azure Storage-ba a Logic Apps használatával.

Forgatókönyv részletei

A biztonsági naplók hasznosak a fenyegetések azonosításához és az adatok elérésére tett jogosulatlan kísérletek nyomon követéséhez. A biztonsági támadások jóval a felfedezésük előtt kezdődhetnek. Emiatt fontos a hosszú távú biztonsági naplókhoz való hozzáférés. A hosszú távú naplók lekérdezése kritikus fontosságú a fenyegetések hatásának azonosításához és a tiltott hozzáférési kísérletek terjedésének vizsgálatához.

Ez a cikk a biztonsági naplók hosszú távú megőrzésére szolgáló megoldást ismerteti. Az architektúra középpontjában az Azure Data Explorer áll. Ez a szolgáltatás minimális költséggel biztosítja a biztonsági adatok tárolását, de az adatokat lekérdezhető formátumban tárolja. Egyéb fő összetevők:

  • Végponthoz készült Microsoft Defender és a Microsoft Sentinel az alábbi képességekhez:

    • Átfogó végpontbiztonság
    • Biztonságiadat- és eseménykezelés (SIEM)
    • Biztonsági vezénylés automatizált válasz (SOAR)

  • Log Analytics, a Sentinel biztonsági naplóinak rövid távú tárolásához.

Lehetséges használati esetek

Ez a megoldás különböző forgatókönyvekre vonatkozik. A Security Operations Center (SOC) elemzői a következő célokra használhatják ezt a megoldást:

  • Teljes körű vizsgálatok.
  • Törvényszéki elemzés.
  • Veszélyforrás-keresés.
  • Biztonsági auditok.

Az ügyfél a megoldás hasznosságáról tanúskodik: "Majdnem másfél éve üzembe helyeztünk egy Azure Data Explorer-fürtöt. Az utolsó Solorigate-adatszivárgás során egy Azure Data Explorer-fürtöt használtunk a kriminalisztikai elemzéshez. Egy Microsoft Dart-csapat egy Azure Data Explorer-fürtöt is használt a vizsgálat elvégzéséhez. A hosszú távú biztonsági adatmegőrzés kritikus fontosságú a teljes körű adatvizsgálatokhoz."

Monitorozási verem

Az alábbi ábra az Azure monitorozási vermét mutatja be:

Egy monitorozási megoldást ábrázoló architektúradiagram. A Sentinel és a Log Analytics monitorozást és riasztást biztosít. Az Azure Data Explorer platformként szolgál.

  • A Sentinel Egy Log Analytics-munkaterület használatával tárolja a biztonsági naplókat, és SIEM- és SOAR-megoldásokat biztosít.
  • A monitor nyomon követi az informatikai eszközök állapotát, és szükség esetén riasztásokat küld.
  • Az Azure Data Explorer egy mögöttes adatplatformot biztosít, amely a Log Analytics-munkaterületek, a Monitor és a Sentinel biztonsági naplóit tárolja.

Főbb funkciók

A megoldás fő funkciói számos előnnyel járnak, ahogy az alábbi szakaszok is ismertetik.

Hosszú távú lekérdezhető adattár

Az Azure Data Explorer indexeli az adatokat a tárolási folyamat során, így az adatok elérhetők lesznek a lekérdezésekhez. Ha az auditok és a vizsgálatok futtatására kell összpontosítania, nincs szükség az adatok feldolgozására. Az adatok lekérdezése egyszerű.

Teljes körű törvényszéki elemzés

Az Azure Data Explorer, a Log Analytics és a Sentinel támogatja a szolgáltatásközi lekérdezéseket. Ennek eredményeképpen egyetlen lekérdezésben hivatkozhat az ezen szolgáltatások bármelyikében tárolt adatokra. Az SOC-elemzők a Kusto lekérdezési nyelv (KQL) használatával teljes körű vizsgálatot futtathatnak. Az Azure Data Explorer-lekérdezéseket a Sentinelben is használhatja vadászati célokra. További információ : Újdonságok: A Sentinel Hunting támogatja az erőforrásközi ADX-lekérdezéseket.

Igény szerinti adat gyorsítótárazása

Az Azure Data Explorer támogatja az ablakalapú gyors gyorsítótárazást. Ez a funkció lehetővé teszi az adatok áthelyezését egy kijelölt időszakból a gyorsgyorsítótárba. Ezután gyors lekérdezéseket futtathat az adatokon, így hatékonyabbá teheti a vizsgálatokat. Előfordulhat, hogy ehhez számítási csomópontokat kell hozzáadnia a gyorsgyorsítótárhoz. A vizsgálat befejezése után módosíthatja a gyorsgyorsítótár-házirendet, hogy az adatokat áthelyezze a hideg partícióba. A fürt eredeti méretére is visszaállítható.

Folyamatos exportálás archiválási adatokba

A jogszabályi követelmények betartása érdekében egyes vállalatoknak korlátlan ideig kell tárolniuk a biztonsági naplókat. Az Azure Data Explorer támogatja az adatok folyamatos exportálását. Ezzel a képességgel archiválási réteget hozhat létre a biztonsági naplók Storage-ban való tárolásával.

Bizonyított lekérdezési nyelv

A Kusto lekérdezési nyelve natív az Azure Data Explorerben. Ez a nyelv a Log Analytics-munkaterületeken és a Sentinel veszélyforrás-keresési környezetekben is elérhető. Ez a rendelkezésre állás jelentősen csökkenti az SOC-elemzők tanulási görbéit. A Sentinelen futtatott lekérdezések az Azure Data Explorer-fürtökben tárolt adatokon is működnek.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

A megoldás megvalósításakor tartsa szem előtt az alábbi szempontokat.

Méretezhetőség

Fontolja meg az alábbi méretezhetőségi problémákat:

Adatexportálási módszer

Ha nagy mennyiségű adatot kell exportálnia a Log Analyticsből, elérheti az Event Hubs kapacitáskorlátait. A helyzet elkerülése érdekében:

  • Adatok exportálása a Log Analyticsből a Blob Storage-ba.
  • Az Azure Data Factory számítási feladataival rendszeresen exportálhatja az adatokat az Azure Data Explorerbe.

Ezzel a módszerrel csak akkor másolhat adatokat a Data Factoryből, ha az adatok a Sentinelben vagy a Log Analyticsben megközelítik a megőrzési korlátot. Ennek eredményeképpen elkerülheti az adatok duplikálását. További információ: Adatok exportálása a Log Analyticsből az Azure Data Explorerbe.

Lekérdezések használata és naplózási felkészültség

Az Azure Data Explorer-fürtben általában a ritka elérésű gyorsítótárban tárolhatja az adatokat. Ez a módszer minimalizálja a fürt költségeit, és elegendő a legtöbb olyan lekérdezéshez, amely az előző hónapok adataival jár. Ha azonban nagy adattartományokat kérdez le, előfordulhat, hogy fel kell méreteznie a fürtöt, és be kell töltenie az adatokat a gyakori elérésű gyorsítótárba.

Erre a célra használhatja a gyorsgyorsítótár-szabályzat gyakori elérésű ablak funkcióját. Ezt a funkciót hosszú távú adatok naplózásakor is használhatja. A gyakori elérésű ablak használatakor előfordulhat, hogy felfelé vagy ki kell skáláznia a fürtöt, hogy több adat legyen a gyakori elérésű gyorsítótárban. Miután befejezte a nagy adattartomány lekérdezését, módosítsa a gyorsgyorsítótár-szabályzatot a számítási költségek csökkentése érdekében.

Az Azure Data Explorer-fürt optimalizált automatikus skálázási funkciójának bekapcsolásával optimalizálhatja a fürt méretét a gyorsítótárazási szabályzat alapján. A ritka elérésű adatok Azure Data Explorerben való lekérdezéséről további információt a hideg adatok lekérdezése gyakori ablakokkal című témakörben talál.

Teljesítmény hatékonysága

A teljesítménybeli hatékonyság lehetővé teszi, hogy a számítási feladatok hatékonyan méretezhetők legyenek a felhasználók igényei szerint. További információ: Teljesítményhatékonysági pillér áttekintése.

Ha hosszú ideig vagy korlátlan ideig kell tárolnia a biztonsági adatokat, exportálja a naplókat a Storage-ba. Az Azure Data Explorer támogatja az adatok folyamatos exportálását. Ezzel a funkcióval tömörített, particionált Parquet formátumban exportálhat adatokat a Storage-ba. Ezután zökkenőmentesen lekérdezheti az adatokat. További információ: Folyamatos adatexportálás áttekintése.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.

Az Azure Data Explorer fürtköltsége elsősorban a gyorsgyorsítótárban tárolt adatok számítási teljesítményén alapul. A gyorsgyorsítótár-adatok lekérdezései jobb teljesítményt nyújtanak a hideggyorsítótár-lekérdezésekkel szemben. Ez a megoldás a legtöbb adatot a hideg gyorsítótárban tárolja, ezzel minimalizálva a számítási költségeket.

A megoldás környezetbeli futtatásának költségeinek megismeréséhez használja az Azure díjszabási kalkulátorát.

A forgatókönyv üzembe helyezése

Az üzembe helyezés automatizálásához használja ezt a PowerShell-szkriptet. Ez a szkript a következő összetevőket hozza létre:

  • A céltábla
  • A nyers tábla
  • A táblaleképezés, amely meghatározza, hogy az Event Hubs hogyan rögzíti a földet a nyers táblában
  • Adatmegőrzési és frissítési szabályzatok
  • Event Hubs-névterek
  • Adatexportálási szabályok a Log Analytics-munkaterületen
  • Az Event Hubs és az Azure Data Explorer nyers adattáblája közötti adatkapcsolat

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések