Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per Microsoft Sentinel aree di lavoro connesse a Defender, la gestione a livelli e conservazione deve essere eseguita dalla nuova esperienza di gestione tabelle nel portale di Defender. Per le aree di lavoro Microsoft Sentinel non collegati, continuare a usare le esperienze descritte di seguito per gestire i dati nelle aree di lavoro.
Esistono due aspetti concorrenti della raccolta dei log e della conservazione che sono fondamentali per un programma di rilevamento delle minacce riuscito. Da un lato, si vuole massimizzare il numero di origini di log raccolte, in modo da avere la copertura di sicurezza più completa possibile. D'altra parte, è necessario ridurre al minimo i costi sostenuti dall'inserimento di tutti i dati.
Queste esigenze concorrenti richiedono una strategia di gestione dei log che bilancia l'accessibilità dei dati, le prestazioni delle query e i costi di archiviazione.
Questo articolo illustra le categorie di dati e gli stati di conservazione usati per archiviare e accedere ai dati. Descrive anche i livelli di log Microsoft Sentinel offre la possibilità di creare una strategia di gestione e conservazione dei log.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Categorie di dati inseriti
Microsoft consiglia di classificare i dati inseriti in Microsoft Sentinel in due categorie generali:
I dati di sicurezza primari sono dati che contengono un valore di sicurezza critico. Questi dati vengono usati per il monitoraggio proattivo in tempo reale, gli avvisi pianificati e l'analisi per rilevare le minacce alla sicurezza. I dati devono essere immediatamente disponibili per tutte le esperienze Microsoft Sentinel in tempo quasi reale.
I dati di sicurezza secondari sono dati supplementari, spesso in log dettagliati a volume elevato. Questi dati hanno un valore di sicurezza limitato, ma possono offrire maggiore ricchezza e contesto ai rilevamenti e alle indagini, contribuendo a tracciare l'immagine completa di un evento imprevisto di sicurezza. Non deve essere immediatamente disponibile, ma deve essere accessibile su richiesta in base alle esigenze e in dosi appropriate.
Dati di sicurezza primari
Questa categoria è costituita da log che contengono un valore di sicurezza critico per l'organizzazione. I casi d'uso dei dati di sicurezza principali per le operazioni di sicurezza includono:
Monitoraggio frequente. Le regole di rilevamento delle minacce (analisi) vengono eseguite su questi dati a intervalli frequenti o quasi in tempo reale.
Ricerca su richiesta. Su questi dati vengono eseguite query complesse per eseguire ricerche interattive e ad alte prestazioni per le minacce alla sicurezza.
Correlazione. I dati di queste origini sono correlati ai dati provenienti da altre origini dati di sicurezza primarie per rilevare le minacce e creare storie di attacco.
Report regolari. I dati provenienti da queste origini sono immediatamente disponibili per la compilazione in report regolari dell'integrità della sicurezza dell'organizzazione, sia per i responsabili della sicurezza che per i decision maker generali.
Analisi del comportamento. I dati provenienti da queste origini vengono usati per creare profili di comportamento di base per utenti e dispositivi, consentendo di identificare i comportamenti outlying come sospetti.
Alcuni esempi di origini dati primarie includono:
- Log da sistemi di rilevamento e risposta (EDR) antivirus o aziendali
- Log di autenticazione
- Audit trail dalle piattaforme cloud
- Feed di intelligence sulle minacce
- Avvisi da sistemi esterni
I log contenenti i dati di sicurezza primari devono essere archiviati usando il livello di analisi.
Dati di sicurezza secondari
Questa categoria comprende i log il cui valore di sicurezza individuale è limitato, ma sono essenziali per fornire una visualizzazione completa di un evento imprevisto o di una violazione della sicurezza. In genere, questi log sono a volume elevato e possono essere dettagliati. I casi d'uso delle operazioni di sicurezza per questi dati includono quanto segue:
Threat intelligence. I dati primari possono essere controllati in base a elenchi di indicatori di compromissione (IoC) o indicatori di attacco (IoA) per rilevare rapidamente e facilmente le minacce.
Ricerca/indagine ad hoc. I dati possono essere sottoposti a query in modo interattivo per 30 giorni, facilitando l'analisi cruciale per la ricerca e le indagini sulle minacce.
Ricerche su larga scala. I dati possono essere inseriti e cercati in background su scala petabyte, pur essendo archiviati in modo efficiente con un'elaborazione minima.
Riepilogo tramite processi KQL. Riepilogare i log con volumi elevati in informazioni aggregate e archiviare i risultati nel livello di analisi.
Alcuni esempi di origini log dati secondarie sono i log di accesso all'archiviazione cloud, i log netflow, i log dei certificati TLS/SSL, i log del firewall, i log proxy e i log IoT.
Per i log contenenti dati di sicurezza secondari, usare il data lake Microsoft Sentinel, progettato per offrire funzionalità avanzate di scalabilità, flessibilità e integrazione per scenari di sicurezza e conformità avanzati.
Livelli di gestione dei log
Microsoft Sentinel fornisce due diversi livelli di archiviazione log, o tipi, per soddisfare queste categorie di dati inseriti.
Il piano del livello di analisi è progettato per archiviare i dati di sicurezza primari e renderli facilmente e costantemente accessibili a prestazioni elevate.
Il livello data lake è ottimizzato per archiviare i dati di sicurezza secondari in modo conveniente in periodi prolungati, mantenendo al tempo stesso l'accessibilità.
Livello di analisi
Il livello di analisi mantiene i dati nello stato di conservazione interattivo per 90 giorni per impostazione predefinita, estensibile per un massimo di due anni. Questo stato interattivo, anche se costoso, consente di eseguire query sui dati in modo illimitato, con prestazioni elevate, senza addebiti per query.
Livello Data Lake
Microsoft Sentinel data lake è un data lake moderno e completamente gestito che unifica e conserva i dati di sicurezza su larga scala, abilitando l'analisi avanzata in più modalità e il rilevamento delle minacce basato su agenti di intelligenza artificiale. Consente ai team di sicurezza di analizzare le minacce a lungo termine, arricchire gli avvisi e creare linee di base comportamentali usando mesi di dati.
Quando la conservazione totale è configurata per essere più lunga della conservazione del livello di analisi o al termine del periodo di conservazione del livello di analisi, i dati archiviati oltre la conservazione del livello di analisi continuano a essere accessibili nel livello data lake.
Contenuto correlato
- Per altre informazioni su Microsoft Sentinel data lake, vedere Microsoft Sentinel data lake.
- Per eseguire l'onboarding in Microsoft Sentinel data lake, vedere Eseguire l'onboarding dei dati in Microsoft Sentinel data lake.