Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il data lake di Microsoft Sentinel è un repository a livello di tenant per la raccolta, l'archiviazione e la gestione di grandi volumi di dati correlati alla sicurezza da varie origini. Consente analisi complete, unificate e visibilità nel panorama della sicurezza. Il grafo di Microsoft Sentinel è una funzionalità unificata del grafo all'interno della piattaforma Microsoft Sentinel che alimenta le esperienze basate su grafo in tutta sicurezza, conformità, identità e l'intero ecosistema. Queste soluzioni usano analisi avanzate, Machine Learning, grafici e intelligenza artificiale per rilevare le minacce, analizzare e rispondere agli eventi imprevisti e migliorare il comportamento di sicurezza complessivo.
Il data lake e il grafo di Microsoft Sentinel sono disponibili nelle soluzioni seguenti:
- Microsoft Defender XDR
- Indagini sulla sicurezza dei dati di Microsoft Purview
- Gestione dei rischi Insider di Microsoft Purview
Prerequisites
Importante
Se l'organizzazione usa chiavi di Customer-Managed (CMK) per la crittografia dei dati, tenere presente che cmk non è completamente supportato per i dati archiviati nel data lake di Microsoft Sentinel. Tutti i dati inseriti nel data lake, ad esempio tabelle personalizzate o dati trasformati, vengono crittografati usando chiavi gestite da Microsoft. L'onboarding nel data lake di Microsoft Sentinel potrebbe non essere completamente allineato ai criteri di crittografia dell'organizzazione o agli standard di protezione dei dati.
Per eseguire l'onboarding nel data lake e nel grafo di Microsoft Sentinel in Microsoft Defender XDR, Data Security Investigations e gestione dei rischi interni, è necessario soddisfare i seguenti prerequisiti:
- È necessario configurare Microsoft Defender (
security.microsoft.com) e Microsoft Sentinel. Non è necessaria una licenza di Microsoft Defender XDR per l'uso del data lake di Microsoft Sentinel con Microsoft Sentinel nel portale di Microsoft Defender. - Una sottoscrizione di Azure esistente e un gruppo di risorse per configurare la fatturazione per il data lake. Devi essere il proprietario diretto della sottoscrizione: non è sufficiente essere il proprietario della sottoscrizione a livello di gruppo di gestione. È possibile usare la sottoscrizione e il gruppo di risorse di Azure SIEM di Microsoft Sentinel esistenti o crearne uno nuovo. Per altre informazioni sulla fatturazione, vedere Pianificare i costi e comprendere i prezzi e la fatturazione di Microsoft Sentinel.
- Un'area di lavoro primaria di Microsoft Sentinel connessa al portale di Microsoft Defender. Il tuo data lake è stato predisposto nella stessa regione del tuo spazio di lavoro primario di Sentinel.
- È necessario disporre dei privilegi di lettura per le aree di lavoro primarie e delle altre aree di lavoro in modo che possano essere collegate al data lake. Solo le aree di lavoro che si trovano nella stessa area dell'area di lavoro di Sentinel primaria sono collegate al data lake.
- Se i dati di Microsoft 365 non si trovano nella stessa area del data lake, eseguendo l'onboarding nel data lake, si acconsente all'inserimento dei dati di Microsoft 365 nell'area in cui risiede il data lake.
Note
Prima dell'onboarding, controllare la disponibilità di Microsoft Data Lake e Graph nell'area facendo riferimento alla disponibilità geografica e alla residenza dei dati in Microsoft Sentinel.
Altri prerequisiti per Microsoft Purview
Accesso collaboratore all'area di lavoro primaria di Microsoft Sentinel per autorizzare l'inserimento dei dati delle attività di Microsoft 365 nell'area di lavoro primaria.
Installare e configurare i connettori dati seguenti per inviare dati a un'area di lavoro di Sentinel collegata a Defender:
- Microsoft 365. È necessario raccogliere i tipi di record di SharePoint per il grafico da compilare.
- MICROSOFT Entra ID. È necessario raccogliere Sign-In log ed eventi di rischio utente.
Il grafico dei rischi per i dati è basato sui dati inseriti nel data lake di Sentinel tramite connettori per i log di attività di Office e di accesso di Entra.
Ruoli richiesti
Per configurare la fatturazione e abilitare l'inserimento dei dati degli asset nel data lake, è necessario assegnare i ruoli seguenti all'account membro del tenant:
- Proprietario della sottoscrizione di Azure o Collaboratore della sottoscrizione per la configurazione della fatturazione
- Amministratore globale di Microsoft Entra o Amministratore della sicurezza per l'autorizzazione di inserimento dati da Microsoft Entra, Microsoft 365 e Azure
- Accesso in lettura a tutte le aree di lavoro per abilitarne il collegamento al data lake
Modifiche apportate durante l'onboarding nel data lake di Sentinel e in Graph
Quando si esegue l'onboarding nel data lake e in Graph, il processo apporta le modifiche seguenti:
Il sistema configura il lago di dati per la sottoscrizione selezionata e il gruppo di risorse selezionato.
Esegue il provisioning del data lake nella stessa area di Azure in cui si trova l’area di lavoro principale di Sentinel.
Collega tutte le aree di lavoro connesse a Defender che si trovano nella stessa area dell'area di lavoro di Sentinel primaria al data lake di Microsoft Sentinel. Le aree di lavoro non connesse a Defender non sono collegate al data lake.
Dopo aver abilitato Il data lake di Microsoft Sentinel, i dati nel livello di analisi di Microsoft Sentinel sono disponibili anche nel livello data lake di Microsoft Sentinel da quel punto in poi senza costi aggiuntivi. È possibile usare i connettori esistenti dell'area di lavoro di Microsoft Sentinel per inserire nuovi dati sia per l'analisi che per i livelli data lake o solo per il livello Data Lake.
Quando si abilita l'inserimento dei dati per la prima volta o si passa da un livello all'altro, sono necessari da 90 a 120 minuti per visualizzare i dati nelle tabelle. Dopo aver abilitato l'inserimento per il livello data lake, i dati vengono visualizzati simultaneamente nel data lake e nelle tabelle del livello di analisi.
I dati sugli asset per i servizi Microsoft seguenti vengono inseriti automaticamente nelle tabelle di sistema del data lake di Sentinel.
- Microsoft Entra
- Microsoft 365
- Grafico delle Risorse di Azure
Le tabelle di sistema vengono visualizzate nell'interfaccia utente di selezione dell'area di lavoro all'interno delle esperienze di esplorazione Lake.
Se i dati di Microsoft 365 non si trovano nella stessa area del data lake, eseguendo l'onboarding nel data lake, si acconsente all'inserimento dei dati di Microsoft 365 nell'area in cui risiede il data lake.
Fornisce le funzionalità del grafo e usa i dati presenti nel data lake per migliorare l'analisi del grafo e le esperienze di ricerca in Defender.
Vengono visualizzate nuove funzionalità abilitate per l'esplorazione del lago, la gestione delle tabelle, i connettori di dati, le impostazioni, la gestione dei costi e il grafico.
Se l'organizzazione usa attualmente Microsoft Sentinel Security Information and Event Management (SIEM), la fatturazione e i prezzi per funzionalità come i processi di ricerca e le query, i log ausiliari e la conservazione a lungo termine (noto anche come "archivio") passano ai contatori di fatturazione basati su Data Lake di Microsoft Sentinel, aumentando potenzialmente i costi.
Integra le tabelle di log ausiliarie nel data lake di Microsoft Sentinel. Le tabelle log ausiliarie presenti nelle aree di lavoro connesse di Microsoft Defender, di cui viene eseguito l'onboariding nel data lake di Microsoft Sentinel, diventano parte integrante del data lake e, pertanto, possono essere usate in esperienze del data lake come query KQL e processi. Dopo l'onboarding, le tabelle di log ausiliarie non sono più disponibili nella ricerca avanzata di Microsoft Defender. È invece possibile accedervi tramite query KQL di esplorazione di data lake nel portale di Defender.
Note
Le tabelle di log ausiliarie per le aree di lavoro connesse a Microsoft Defender non sono accessibili dalla ricerca avanzata di Microsoft Defender dopo l'abilitazione del data lake.
Crea un'identità gestita con il prefisso
msg-resources-seguito da un identificatore univoco globale (GUID). Questa identità gestita è necessaria per la funzionalità data lake. L'identità ha il ruolo Lettore di Azure sulle sottoscrizioni di cui è stato eseguito l'onboarding nel data lake. Non eliminare o rimuovere le autorizzazioni necessarie da questa identità gestita. Per abilitare la creazione di tabelle personalizzate nel livello di analisi, assegnare il ruolo Collaboratore Log Analytics a questa identità per le aree di lavoro Log Analytics pertinenti. Per altre informazioni, vedere Creare processi KQL nel data lake di Microsoft Sentinel.
Dopo aver eseguito l'onboarding nel data lake di Microsoft Sentinel, è possibile usare le funzionalità seguenti nel portale di Defender:
- Query KQL di esplorazione data lake
- Attività nel data lake di Microsoft Sentinel
- Gestione dei livelli di dati e conservazione
- Gestione dei costi di Microsoft Sentinel
- Analisi del raggio di esplosione nelle indagini sugli eventi imprevisti
- Grafico di ricerca nella rilevazione avanzata
È anche possibile usare le funzionalità seguenti nel portale delle soluzioni Microsoft Purview dopo l'onboarding nel data lake:
- Grafici dei rischi dei dati nelle indagini sulla sicurezza dei dati
- Grafici dei rischi dei dati nella gestione dei rischi Insider
Questo articolo descrive come i clienti che usano Microsoft Defender, le indagini sulla sicurezza dei dati, la gestione dei rischi Insider e Microsoft Sentinel possono eseguire l'onboarding nel data lake di Microsoft Sentinel. I nuovi clienti di Microsoft Sentinel possono seguire questa procedura dopo l'onboarding iniziale in queste soluzioni.
Esenzione dei criteri per l'onboarding del data lake di Microsoft Sentinel
Durante l'onboarding del data lake di Microsoft Sentinel, le definizioni di Criteri di Azure esistenti potrebbero bloccare la distribuzione delle risorse necessarie. Per garantire il corretto onboarding senza compromettere l'applicazione dei criteri di più ampia portata, configurare un'esenzione di criterio limitata al gruppo di risorse di cui si sta eseguendo l'onboarding.
In particolare, esentare il tipo di risorsa: Microsoft.SentinelPlatformServices/sentinelplatformservices.
Questa esenzione mirata consente ai componenti di Sentinel data lake di distribuirsi correttamente, mantenendo al contempo la conformità ai criteri di governance di Azure che potrebbero essere già stati applicati.
Modalità di aggiunta e archiviazione dei dati durante l'onboarding
Durante l'onboarding, il provisioning del data lake viene eseguito nella stessa area di Azure in cui si trova l’area di lavoro principale di Sentinel. È anche possibile abilitare automaticamente i dati degli asset di Microsoft Entra, Microsoft 365 e Azure Resource Graph. Se questi dati non si trovano nella stessa area del data lake, eseguendo l'onboarding nel data lake, si acconsente all'inserimento e all'archiviazione di questi dati nell'area in cui risiede il data lake in modo da poterli usare con le esperienze data lake e graph di Microsoft Sentinel. I dati degli asset sono disponibili tramite le tabelle di sistema, che è possibile selezionare nell'interfaccia utente di selezione dell'area di lavoro nelle esperienze di esplorazione Lake. Per altre informazioni, vedere Disponibilità geografica e residenza dei dati in Microsoft Sentinel.
Aree di lavoro di Microsoft Sentinel esistenti
È necessario connettere l'area di lavoro primaria di Microsoft Sentinel al portale di Defender per eseguire l'onboarding nel data lake. Il tuo data lake si trova nella stessa regione della tua area di lavoro di Sentinel principale. È possibile connettere altre aree di lavoro nella stessa area dell'area di lavoro primaria al portale di Defender in modo da poterle usare con il data lake. Se è stato eseguito l'onboarding nel data lake, i dati presenti nelle aree di lavoro di Microsoft Sentinel connesse a Defender sono disponibili per essere usati con il data lake. Per altre informazioni su come connettere Microsoft Sentinel al portale di Defender, vedere Connettere Microsoft Sentinel al portale di Microsoft Defender.
Disconnessione dal Data Lake e dal grafo di Microsoft Sentinel
Per disabilitare Data Lake e Graph di Microsoft Sentinel, inviare una richiesta di supporto.
Sei pronto per iniziare?
Per indicazioni dettagliate su come eseguire l'onboarding e la configurazione del data lake e del grafico di Microsoft Sentinel nelle soluzioni Microsoft, vedere gli articoli seguenti:
- Configurare il data lake e Microsoft Graph di Microsoft Sentinel in Microsoft Defender
- Configurare il data lake e il grafico di Microsoft Sentinel in Indagini sulla sicurezza dei dati di Microsoft Purview
- Configurare il data lake e il grafico di Microsoft Sentinel in Microsoft Purview Insider Risk Management