Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La federazione dei dati in Microsoft Sentinel consente di eseguire facilmente query su più origini dati esterne dall'interno dell'ambiente data lake Microsoft Sentinel. Tramite la federazione di origini dati come Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 e Microsoft Fabric, le organizzazioni possono migliorare l'analisi della sicurezza e le informazioni operative senza spostare o duplicare i dati.
Che cos'è la federazione dei dati?
La federazione dei dati consente di eseguire query su origini dati esterne direttamente dal data lake Microsoft Sentinel usando Linguaggio di query Kusto (KQL) o notebook Jupyter usando l'estensione Microsoft Sentinel Di Visual Studio Code. Invece di inserire i dati in Sentinel, la federazione crea connessioni agli archivi dati esterni, abilitando:
- Analisi unificata: eseguire query sulle origini federate insieme alle tabelle data lake Microsoft Sentinel native.
- Mantenere i controlli di governance e conformità: mantenere la sicurezza e la conformità dei dati eseguendo query sui dati sul posto senza spostarlo.
- Informazioni dettagliate avanzate: combinare i dati di sicurezza con dati aziendali, log o altri set di dati archiviati in sistemi esterni.
- Accesso flessibile ai dati: accedere a set di dati cronologici o specializzati che integrano le operazioni di sicurezza.
Importante
La federazione dei dati è unidirezionale dal data lake Sentinel alla destinazione federata. È possibile eseguire query su un'origine federata dal data lake, ma non è possibile accedere al data lake da un'origine federata.
Origini federativa disponibili
Sono disponibili le origini federativa seguenti:
| Origine | Descrizione |
|---|---|
| Azure Databricks | Connettersi alle tabelle del catalogo Unity di Databricks ed eseguire query sui dati da Sentinel. |
| Azure Data Lake Storage Gen 2 | Eseguire query sui dati archiviati negli account di archiviazione ADLS Gen2 direttamente dal data lake Sentinel. |
| Microsoft Fabric | Connettersi alle tabelle di Microsoft Fabric Lakehouse per l'analisi integrata. |
Concetti principali
Connessioni federate
Una connessione federata è un collegamento configurato tra il data lake Sentinel e un'origine dati esterna. Ogni connessione specifica:
- Origine dati di destinazione (Databricks, ADLS Gen 2 o Fabric).
- Credenziali di autenticazione archiviate in modo sicuro in Azure Key Vault per ADLS e Azure Databricks.
- Tabelle specifiche da federazione.
Tabelle federate
Le tabelle federate sono tabelle provenienti da una connessione federata. Le tabelle federate vengono visualizzate nella pagina gestione tabelle Sentinel data lake e possono essere sottoposte a query come tabelle native. I nomi di tabella federati seguono il modello <tableName>_<connectorInstanceName>. Ad esempio, se l'istanza del connettore è denominata ADLS01 e si esegue la federazione con una tabella denominata widgets, il nome della tabella federata è widgets_ADLS01.
Istanze del connettore
Ogni connessione configurata a un'origine dati esterna è denominata istanza del connettore. È possibile creare più istanze per lo stesso tipo di origine federativa, ognuna con connessione a risorse esterne diverse.
Prerequisiti
Prima di configurare la federazione dei dati, assicurarsi di soddisfare i requisiti seguenti:
- Sentinel onboarding del data lake: è necessario eseguire l'onboarding del tenant nel data lake Sentinel. Per altre informazioni, vedere Eseguire l'onboarding in Microsoft Sentinel data lake.
- Accessibilità pubblica: l'origine esterna deve essere accessibile pubblicamente. Gli endpoint privati non sono attualmente supportati.
- Entità servizio: un'entità servizio con le autorizzazioni appropriate nell'origine dati con cui si vuole connettersi è necessaria per Azure origini Databricks e Azure Data Lake Storage Gen2.
- Azure Key Vault: Azure Key Vault per archiviare i segreti di autenticazione per l'entità servizio. È necessario configurare le autorizzazioni per Microsoft Sentinel'identità gestita per leggere i segreti dall'insieme di credenziali delle chiavi.
Funzionamento della federazione
- Configurare l'autenticazione: creare un'entità servizio e archiviarne le credenziali in Azure Key Vault.
- Creare una connessione federata: usare la pagina Connettori dati in Microsoft Sentinel per creare un'istanza del connettore per l'origine federazione dati scelta.
- Selezionare le tabelle: scegliere le tabelle dall'origine esterna da federazione.
- Eseguire query sui dati federati: usare esperienze data lake come query KQL, notebook o strumenti MCP per accedere alle tabelle federate insieme ai dati Sentinel nativi.
Scenari comuni per la federazione dei dati
La federazione dei dati consente di accedere ai dati che si trovano all'esterno del data lake. Ciò è particolarmente utile negli scenari seguenti:
Origini dati operative in più team e sistemi.
Anni di dati cronologici che si vuole naturalmente invecchiare e non è conveniente da inserire.
Normative internazionali o di conformità che vincolano la copia dei dati.
Dati a cui non si accede di frequente e che sono rilevanti solo dal punto di vista contestuale in scenari limitati.
Vantaggi della federazione dei dati
Analisi unificata della sicurezza
Combinare i dati degli eventi di sicurezza in Sentinel con il contesto da origini esterne, ad esempio:
- Output di analisi da Databricks
- Log cronologici archiviati in ADLS Gen 2
- Dati delle applicazioni aziendali da Microsoft Fabric
Flessibilità operativa
- Accedere ai dati oltre i limiti dell'organizzazione
- Integrare i dati di team o business unit diversi
- Supporto di indagini complesse che si estendono su più origini dati
Limitazioni
- Le origini dati devono essere accessibili pubblicamente. Gli endpoint privati non sono supportati.
- Azure Key Vault rete deve essere impostata per Consenti l'accesso pubblico da tutte le reti, che è l'impostazione predefinita per Key Vault, durante la configurazione delle istanze di connessione ADLS o Azure Databricks. Dopo aver completato la creazione o la modifica di una connessione, il Key Vault associato può avere un'impostazione di rete diversa configurata.
- Le connessioni federate a Microsoft Fabric supportano lakehouse abilitate per lo schema, in cui le aree di lavoro non sono abilitate per la protezione dell'accesso in uscita.
- La federazione dei dati è di sola lettura; non è possibile riscrivere i dati in origini federate.
- Le prestazioni delle query dipendono dalla velocità di risposta e dal volume di dati dell'origine esterna.
- Le connessioni federate a un'origine fabric possono avere un massimo di 100 tabelle all'interno dell'istanza di connessione.
- È possibile avere un massimo di 100 istanze del connettore. Azure Databricks e ADLS usano un'istanza del connettore per ogni connessione federata. Microsoft Fabric usa un'istanza del connettore per ogni schema lakehouse in una connessione federata.