Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I dati degli asset nella cybersecurity si riferiscono alle entità fisiche e digitali di un'organizzazione, ad esempio computer, identità, software, servizi cloud e reti. Mostra ciò che esiste in modo da sapere cosa deve essere protetto. il data lake di Microsoft Sentinel aggiunge un valore potente archiviando questi dati degli asset in modo scalabile ed economico che supporta la conservazione a lungo termine, l'analisi avanzata e il rilevamento delle minacce basato sull'intelligenza artificiale. Grazie alla visibilità unificata nei sistemi e alla gestione flessibile dei dati, Sentinel lake consente ai team di sicurezza di comprendere l'ambiente, individuare attività insolite e rispondere alle minacce.
Come viene abilitata l'inserimento dei dati degli asset in Sentinel data lake?
Quando si esegue l'onboarding in Sentinel lake, i dati degli asset vengono inseriti automaticamente se si dispone delle autorizzazioni appropriate. Per altre informazioni, vedere Autorizzazioni necessarie per le origini asset.
Se non si dispone di autorizzazioni sufficienti, vengono create tabelle di asset, ma non vengono inseriti dati. Abilitare manualmente l'inserimento dei dati degli asset come indicato di seguito:
- Passare all'area di lavoro Microsoft Sentinel nel portale di Azure.
- Passare alla pagina Connettori dati .
- Trovare il connettore dell'origine dati dell'asset pertinente.
- Selezionare il connettore e seguire le istruzioni per abilitare l'inserimento.
I dati degli asset vengono inseriti solo nel livello Microsoft Sentinel data lake. Dopo l'onboarding, i dati degli asset possono richiedere fino a 24 ore per arrivare nel lago.
Per impostazione predefinita, i dati degli asset vengono conservati per 30 giorni. La conservazione può essere espansa per un massimo di 12 anni. Per altre informazioni sulla gestione della conservazione delle tabelle, vedere la documentazione relativa alla gestione delle tabelle.
Considerazioni sulla fatturazione
I clienti incorrere in addebiti per l'inserimento dei dati degli asset.
I clienti incorrere in addebiti per la conservazione dei dati degli asset.
Gli snapshot dei dati degli asset vengono acquisiti una volta ogni 24 ore.
Poiché l'inserimento dei dati degli asset è abilitato per impostazione predefinita durante l'onboarding in Sentinel data lake, è importante comprendere il ruolo fondamentale dei connettori di dati Sentinel asset che facilitano l'inserimento dei dati degli asset. Questi connettori di dati sono responsabili dell'inserimento dei dati correlati agli asset in Sentinel data lake e vengono inclusi nei rispettivi pacchetti di soluzioni Sentinel. È possibile individuare e gestire queste soluzioni tramite l'hub contenuti.
Autorizzazioni necessarie per le origini degli asset
Nella tabella seguente vengono descritte le varie origini dati degli asset e i relativi connettori dati:
| Origine dati | Tabelle | Autorizzazione | Soluzione connettore dati |
|---|---|---|---|
| Azure Resource Graph (ARG) |
ARGResources ARGResourceContainers ARGAuthorizationResources |
Proprietario della sottoscrizione | Azure Resource Graph |
| Microsoft Entra ID |
EntraApplications EntraGroupMemberships EntraGroups EntraMembers EntraOrganizations EntraServicePrincipals EntraUsers |
Nessuno | Asset Microsoft Entra ID |
Nota
Alcuni connettori di dati, inclusi, a titolo esemplificacificato, i connettori di asset contribuiscono alla costruzione di grafici di rischio dati in Purview. Se questi grafici sono attivi, la disabilitazione dei connettori associati ne interrompe la generazione. Le descrizioni del connettore indicano se sono coinvolte nella creazione di grafici di rischio dei dati.
Prerequisiti
Per gestire i connettori di dati degli asset, è necessario soddisfare i prerequisiti seguenti:
- Assicurarsi di disporre dell'accesso e delle autorizzazioni necessarie per Microsoft Sentinel, come specificato nella colonna Autorizzazioni della tabella precedente.
- Cercare la soluzione pertinente contenente il connettore dati nell'hub contenuto. L'hub contenuto è disponibile nel menu Microsoft SentinelContent Management>Content Hub. Installare la soluzione se non è già installata.
Configurare e gestire
Accedere alla pagina del connettore in uno dei modi seguenti:
Dalla soluzione installata:
- Selezionare Gestisci
- Selezionare il connettore e quindi aprire la pagina Del connettore
Dalla raccolta Connettore:
- La raccolta connettori è disponibile nel menu Microsoft SentinelConnettori dati diconfigurazione>
Per modificare il periodo di conservazione della tabella, selezionare i tre punti (...) a destra del nome della tabella nella griglia gestione tabella. Selezionare un periodo di conservazione fino a 12 anni. Quando il connettore dati asset mostra lo stato Connesso , il testo del pulsante Interruttore mostra Disconnetti. Ciò indica che l'inserimento è abilitato. Per disabilitare l'inserimento, selezionare il pulsante Disconnetti . Una volta disconnesso, lo stato del connettore mostra Disconnesso e il testo del pulsante passa a Connetti.
Usare i dati degli asset per arricchire i dati delle attività
I dati degli asset aggiungono un contesto prezioso e informazioni dettagliate che potrebbero non essere evidenti solo dai log attività.
Ad esempio, quando si analizzano gli accessi a rischio nella SigninLogs tabella, è possibile migliorare l'analisi unendola alla EntraUsers tabella per includere attributi specifici dell'utente, ad esempio reparto e data di assunzione. Questo contesto aggiuntivo consente ai team di sicurezza di comprendere meglio il comportamento degli utenti e valutare in modo più accurato le potenziali minacce.
SigninLogs
| where IsRisky == true
| join kind=leftouter (
EntraUsers
| summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate
Eseguire query KQL sui dati degli asset
Per eseguire query KQL sui dati degli asset nel data lake Sentinel, assicurarsi di eseguire query nell'ambito dell'area di lavoro corretto. attenersi alla seguente procedura:
Passare al menu Microsoft SentinelQuery KQLdi esplorazione> di Data Lake
Selezionare il pulsante Area di lavoro selezionata .
Assicurarsi che l'area di lavoro Tabelle di sistema sia selezionata.
Le tabelle dei dati degli asset vengono visualizzate nella categoria Asset:
Operazioni successive
- Per informazioni dettagliate sulle opzioni di suddivisione in livelli dei dati e sulle impostazioni di conservazione, vedere la documentazione di Gestione tabelle .
- Informazioni su come i dati degli asset arricchiscono i grafici dei rischi dei dati di Purview.
- Come eseguire query Sentinel data lake