Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Voor Microsoft Sentinel-werkruimten die zijn verbonden met Defender, moet het indelen in lagen en het beheer van retentie worden uitgevoerd vanuit de nieuwe beheerervaring van tabellen in de Defender-portal. Voor niet-gekoppelde Microsoft Sentinel-werkruimten kunt u de hieronder beschreven ervaringen blijven gebruiken om gegevens in uw werkruimten te beheren.
Er zijn twee concurrerende aspecten van het verzamelen en bewaren van logboeken die essentieel zijn voor een succesvol programma voor detectie van bedreigingen. Aan de ene kant wilt u het aantal logboekbronnen dat u verzamelt maximaliseren, zodat u de meest uitgebreide beveiligingsdekking mogelijk hebt. Aan de andere kant moet u de kosten die worden gemaakt door de opname van al die gegevens minimaliseren.
Deze concurrerende behoeften vereisen een strategie voor logboekbeheer die de toegankelijkheid van gegevens, queryprestaties en opslagkosten in balans brengt.
In dit artikel worden categorieën gegevens en de bewaarstatussen besproken die worden gebruikt voor het opslaan en openen van uw gegevens. Ook worden de logboeklagen beschreven die Microsoft Sentinel u biedt om een strategie voor logboekbeheer en -retentie te bouwen.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.
Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.
Categorieën opgenomen gegevens
Microsoft raadt aan om gegevens die zijn opgenomen in Microsoft Sentinel te classificeren in twee algemene categorieën:
Primaire beveiligingsgegevens zijn gegevens die kritieke beveiligingswaarde bevatten. Deze gegevens worden gebruikt voor realtime proactieve bewaking, geplande waarschuwingen en analyses om beveiligingsrisico's te detecteren. De gegevens moeten in bijna realtime beschikbaar zijn voor alle Microsoft Sentinel-ervaringen.
Secundaire beveiligingsgegevens zijn aanvullende gegevens, vaak in uitgebreide logboeken met grote volumes. Deze gegevens hebben een beperkte beveiligingswaarde, maar kunnen extra rijkdom en context bieden voor detecties en onderzoeken, waardoor het volledige beeld van een beveiligingsincident kan worden getekend. Het hoeft niet direct beschikbaar te zijn, maar moet indien nodig en in de juiste doses toegankelijk zijn.
Primaire beveiligingsgegevens
Deze categorie bestaat uit logboeken die kritieke beveiligingswaarde voor uw organisatie bevatten. Gebruiksscenario's voor primaire beveiligingsgegevens voor beveiligingsbewerkingen zijn onder andere:
Frequente monitoring. Regels voor detectie van bedreigingen (analyse) worden met regelmatige intervallen of in bijna realtime uitgevoerd op deze gegevens.
Opsporing op aanvraag. Complexe query's worden uitgevoerd op deze gegevens om interactieve, krachtige opsporing van beveiligingsrisico's uit te voeren.
Correlatie. Gegevens uit deze bronnen zijn gecorreleerd met gegevens uit andere primaire beveiligingsgegevensbronnen om bedreigingen te detecteren en verhalen over aanvallen te bouwen.
Regelmatige rapportage. Gegevens uit deze bronnen zijn direct beschikbaar voor het compileren in regelmatige rapporten van de beveiligingsstatus van de organisatie, zowel voor beveiliging als voor algemene besluitvormers.
Gedragsanalyse. Gegevens uit deze bronnen worden gebruikt om basislijngedragsprofielen te bouwen voor uw gebruikers en apparaten, zodat u het gedrag van uitval als verdacht kunt identificeren.
Enkele voorbeelden van primaire gegevensbronnen zijn:
- Logboeken van antivirus- of bedrijfsdetectie- en -responssystemen (EDR)
- Logboekverificatie
- Controlelogboeken van cloudplatforms
- Feeds voor bedreigingsinformatie
- Waarschuwingen van externe systemen
Logboeken met primaire beveiligingsgegevens moeten worden opgeslagen met behulp van de analyselaag.
Secundaire beveiligingsgegevens
Deze categorie omvat logboeken waarvan de afzonderlijke beveiligingswaarde beperkt is, maar essentieel zijn voor een uitgebreide weergave van een beveiligingsincident of schending. Deze logboeken zijn meestal groot en kunnen uitgebreid zijn. De use cases voor beveiligingsbewerkingen voor deze gegevens zijn onder andere:
Bedreigingsinformatie. Primaire gegevens kunnen worden gecontroleerd op lijsten met Indicators of Compromise (IoC) of Indicators of Attack (IoA) om snel en eenvoudig bedreigingen te detecteren.
Ad-hoc jagen/onderzoeken. Gegevens kunnen 30 dagen interactief worden opgevraagd, waardoor cruciale analyse voor opsporing en onderzoeken van bedreigingen wordt vergemakkelijkt.
Grootschalige zoekopdrachten. Gegevens kunnen op petabyteschaal op de achtergrond worden opgenomen en doorzocht, terwijl ze efficiënt worden opgeslagen met minimale verwerking.
Samenvatting via KQL-opdrachten. Vat logboeken met een hoog volume samen in geaggregeerde informatie en sla de resultaten op in de analyselaag.
Enkele voorbeelden van secundaire gegevenslogboekbronnen zijn logboeken voor toegang tot cloudopslag, NetFlow-logboeken, TLS/SSL-certificaatlogboeken, firewalllogboeken, proxylogboeken en IoT-logboeken.
Voor logboeken met secundaire beveiligingsgegevens gebruikt u de Microsoft Sentinel Data Lake, die is ontworpen om verbeterde schaalbaarheid, flexibiliteit en integratiemogelijkheden te bieden voor geavanceerde beveiligings- en nalevingsscenario's.
Logboekbeheerlagen
Microsoft Sentinel biedt twee verschillende opslagniveaus om de opgenomen gegevens in deze categorieën te accommoderen.
Het analyselaagplan is ontworpen om primaire beveiligingsgegevens op te slaan en deze eenvoudig en voortdurend toegankelijk te maken bij hoge prestaties.
De Data Lake-laag is geoptimaliseerd voor het opslaan van secundaire beveiligingsgegevens gedurende langere perioden, terwijl de toegankelijkheid behouden blijft.
Analyselaag
De analyselaag bewaart gegevens standaard gedurende 90 dagen in de interactieve bewaarstatus, die maximaal twee jaar kan worden uitgebreid. Met deze interactieve status kunt u op onbeperkte wijze query's uitvoeren op uw gegevens, met hoge prestaties, zonder kosten per query.
Data Lake-laag
Microsoft Sentinel data lake is een volledig beheerde, moderne data lake waarmee beveiligingsgegevens op schaal worden gecombineerd en bewaard, waardoor geavanceerde analyses mogelijk zijn in meerdere modaliteiten en ai-agentische detectie van bedreigingen. Het stelt beveiligingsteams in staat om bedreigingen op lange termijn te onderzoeken, waarschuwingen te verrijken en gedragsbasislijnen te bouwen met behulp van maanden aan gegevens.
Wanneer de totale retentie zo is geconfigureerd dat deze langer is dan de retentieperiode van de analyselaag of wanneer de bewaarperiode voor de analyselaag afloopt, blijven gegevens die zijn opgeslagen buiten de retentielaag van de analyselaag, toegankelijk in de Data Lake-laag.
Verwante inhoud
- Zie Microsoft Sentinel Data Lake voor meer informatie over Microsoft Sentinel Data Lake.
- Zie Onboarding van gegevens naar Microsoft Sentinel data lake om aan de slag te gaan met Microsoft Sentinel data lake.