Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Con Microsoft Sentinel data lake, è possibile archiviare e analizzare log con volumi elevati e bassa fedeltà, ad esempio dati dns o firewall, inventari di asset e record cronologici per un massimo di 12 anni. Poiché l'archiviazione e le risorse di calcolo sono disaccoppiate, è possibile eseguire query sulla stessa copia di dati usando più strumenti, senza spostarla o duplicarla.
È possibile esplorare i dati nel data lake usando Linguaggio di query Kusto (KQL) e Jupyter Notebook, per supportare un'ampia gamma di scenari, dalla ricerca delle minacce e dalle indagini all'arricchimento e all'apprendimento automatico.
Questo articolo presenta i concetti e gli scenari principali dell'esplorazione del data lake, evidenzia i casi d'uso comuni e illustra come interagire con i dati usando strumenti familiari.
Query interattive KQL
Usare Linguaggio di query Kusto (KQL) per eseguire query interattive direttamente nel data lake su più aree di lavoro.
Usando KQL, gli analisti possono:
- Analizzare e rispondere usando dati cronologici: usare i dati a lungo termine nel data lake per raccogliere prove forensi, analizzare un evento imprevisto, rilevare modelli e rispondere agli eventi imprevisti.
- Arricchire le indagini con i log con volumi elevati: sfruttare i dati rumorosi o a bassa fedeltà archiviati nel data lake per aggiungere contesto e profondità alle indagini di sicurezza.
- Correlare i dati di asset e log nel data lake: eseguire query sugli inventari degli asset e sui log delle identità per connettere l'attività utente alle risorse e individuare attacchi più ampi.
Usare query KQL in Microsoft Sentinel>Aspezione di Data Lake nel portale di Defender per eseguire query KQL interattive ad hoc direttamente su dati a lungo termine. L'esplorazione di Data Lake è disponibile dopo il completamento del processo di onboarding . Le query KQL sono ideali per gli analisti SOC che analizzano gli eventi imprevisti in cui i dati potrebbero non risiedere più nel livello di analisi. Le query consentono l'analisi forense usando query familiari senza riscrivere il codice. Per iniziare a usare le query KQL, vedere Esplorazione di Data Lake - Query KQL.
Processi KQL
I processi KQL sono query KQL asincrone una tantum o pianificate sui dati nel data lake Microsoft Sentinel. I processi sono utili per scenari analitici e investigativi, ad esempio;
- Query una tantum a esecuzione prolungata per le indagini sugli eventi imprevisti e la risposta agli eventi imprevisti
- Attività di aggregazione dei dati che supportano i flussi di lavoro di arricchimento tramite log a bassa fedeltà
- Analisi di corrispondenza di Intelligence per le minacce cronologiche (TI) per l'analisi retrospettiva
- Analisi di rilevamento anomalie che identificano modelli insoliti in più tabelle
- Alzare di livello i dati dal data lake al livello di analisi per abilitare l'analisi degli eventi imprevisti o la correlazione dei log.
Eseguire processi KQL una tantum nel data lake per promuovere dati cronologici specifici dal livello data lake al livello di analisi o creare tabelle di riepilogo personalizzate nel livello data lake. La promozione dei dati è utile per l'analisi della causa radice o il rilevamento zero-day durante l'analisi degli eventi imprevisti che si estendono oltre la finestra del livello di analisi. Inviare un processo pianificato nel data lake per automatizzare le query ricorrenti per rilevare anomalie o creare baseline usando dati cronologici. I cacciatori di minacce possono usarlo per monitorare la ricerca di modelli insoliti nel tempo e inserire i risultati in rilevamenti o dashboard. Per altre informazioni, vedere Creare processi nel data lake Microsoft Sentinel e Gestire i processi nel data lake Microsoft Sentinel.
Visualizzare i dati in Microsoft Sentinel data lake usando Cartelle di lavoro
È possibile usare Microsoft Sentinel cartelle di lavoro per visualizzare e monitorare i dati nel data lake Microsoft Sentinel. Selezionando Sentinel data lake come origine dati in una cartella di lavoro, è possibile eseguire query KQL direttamente nel data lake ed eseguire il rendering dei risultati come grafici interattivi e tabelle. In questo modo è possibile creare dashboard e report che sfruttano i dati di telemetria a lungo termine e volumi elevati archiviati nel data lake, rendendoli ideali per la ricerca avanzata delle minacce, l'analisi delle tendenze e la creazione di report esecutivi. Per altre informazioni sulla creazione di cartelle di lavoro con Sentinel data lake, vedere Visualizzare i dati in Microsoft Sentinel data lake usando Cartelle di lavoro.
Scenari di esplorazione
Gli scenari seguenti illustrano come è possibile usare query KQL nel data lake Microsoft Sentinel per migliorare le operazioni di sicurezza:
| Scenario | Dettagli | Esempio |
|---|---|---|
| Analizzare gli eventi imprevisti di sicurezza usando dati cronologici a lungo termine | I team di sicurezza spesso devono andare oltre la finestra di conservazione predefinita per individuare l'intero ambito di un evento imprevisto. | Un analista SOC di livello 3 che esamina un attacco di forza bruta usa query KQL sul data lake per eseguire query sui dati precedenti a 90 giorni. Dopo aver identificato attività sospette di oltre un anno fa, l'analista promuove i risultati al livello di analisi per un'analisi più approfondita e una correlazione degli eventi imprevisti. |
| Rilevare anomalie e creare linee di base comportamentali nel tempo | I tecnici del rilevamento si affidano ai dati cronologici per stabilire linee di base e identificare modelli che possono indicare comportamenti dannosi. | Un tecnico del rilevamento analizza i log di accesso per diversi mesi per rilevare i picchi di attività. Pianificando un processo KQL nel data lake, creano una baseline di serie temporali e individuano un modello coerente con l'uso improprio delle credenziali. |
| Arricchire le indagini usando log con volumi elevati e bassa fedeltà | Alcuni log sono troppo rumorosi o voluminosi per il livello di analisi, ma sono comunque utili per l'analisi contestuale. | Gli analisti SOC usano KQL per eseguire query sui log di rete e firewall archiviati solo nel data lake. Questi log, anche se non sono inclusi nel livello di analisi, consentono di convalidare gli avvisi e fornire prove di supporto durante le indagini. |
| Rispondere alle minacce emergenti con la suddivisione in livelli dei dati flessibile | Quando emerge una nuova intelligence sulle minacce, gli analisti devono accedere e agire rapidamente sui dati cronologici. | Un analista di intelligence sulle minacce reagisce a un report di analisi delle minacce appena pubblicato eseguendo le query KQL suggerite nel data lake. Dopo aver individuato l'attività pertinente di diversi mesi fa, il log richiesto viene promosso al livello di analisi. Per abilitare il rilevamento in tempo reale per i rilevamenti futuri, è possibile modificare i criteri di suddivisione in livelli nelle tabelle pertinenti per eseguire il mirroring dei log più recenti nel livello di analisi. |
| Esplorare i dati degli asset da origini oltre ai log di sicurezza tradizionali | Arricchire l'analisi usando l'inventario asset, ad esempio oggetti Microsoft Entra ID e risorse Azure. | Gli analisti possono usare KQL per eseguire query sulle informazioni sulle identità e sugli asset di risorse, ad esempio Microsoft Entra ID utenti, app, gruppi o inventari di risorse Azure, per correlare i log per un contesto più ampio che integra i dati di sicurezza esistenti. |