Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Sentinel data lake is een speciaal ontworpen, cloudeigen gegevens lake voor beveiliging waarmee organisaties beveiligingsgegevens beheren en analyseren. Ontworpen als een echte data lake, worden grote hoeveelheden diverse beveiligingsgegevens op schaal opgenomen, opgeslagen en geanalyseerd. Door beveiligingsgegevens te centraliseren in één open-indeling, uitbreidbaar platform, biedt het uitgebreide zichtbaarheid, langetermijnretentie en geavanceerde analyses.
Met data lake kunt u al uw beveiligingsgegevens rendabel in Microsoft Sentinel opnemen, zodat u niet meer hoeft te kiezen tussen dekking en kosten. U kunt meer gegevens langer bewaren, bedreigingen detecteren met een grotere context en historische diepte en sneller reageren zonder de beveiliging in gevaar te brengen.
De Data Lake van Microsoft Sentinel wordt volledig beheerd, dus u hoeft geen gegevensinfrastructuur te implementeren of te onderhouden. Het biedt een geïntegreerd gegevensplatform voor end-to-end bedreigingsanalyse en -respons. Er wordt één kopie van beveiligingsgegevens opgeslagen in assets, activiteitenlogboeken en bedreigingsinformatie in de lake en maakt gebruik van meerdere analysehulpprogramma's zoals KQL- en Jupyter-notebooks voor uitgebreide beveiligingsanalyses.
Traditionele SIEM-oplossingen hebben moeite met de kosten en complexiteit van het opslaan en opvragen van beveiligingsgegevens op lange termijn. Microsoft Sentinel data lake lost deze uitdagingen op de volgende manieren op:
- Beveiligingsgegevens samenvoegen in Microsoft Defender XDR, bronnen en assets van derden, activiteitenlogboeken en bedreigingsinformatie
- Kosten optimaliseren met gelaagde opslag, gegevenspromotie op aanvraag en één kopie van de gegevens
- Uitgebreide beveiligingsinzichten mogelijk maken met maximaal 12 jaar aan beveiligingsgegevens en telemetrie die u kunt opvragen en analyseren
- Ai en automatisering inschakelen voor snellere detectie en respons.
Met één kopie van gegevens gebruikt u KQL om query's en Jupyter-notebooks uit te voeren met geavanceerde Python-bibliotheken en machine learning-hulpprogramma's om diepere analyses uit te voeren voor forensische, incidentiereacties en anomaliedetectie.
Architecture
Microsoft Sentinel data lake, gebouwd op de schaalbare infrastructuur van Azure, faciliteert gecentraliseerde opname, analyse en actie in diverse gegevensbronnen. De technische architectuur van Microsoft Sentinel Data Lake biedt de volgende belangrijke voordelen:
- Open formaat Parquet-gegevensbestanden voor interoperabiliteit en uitbreidbaarheid
- Eén kopie van gegevens voor efficiënte en rendabele opslag
- Scheiding van opslag en rekenkracht voor meer flexibiliteit
- Ondersteuning voor meerdere analyse-engines voor het ontgrendelen van inzichten uit uw beveiligingsgegevens
- Systeemeigen integratie met Microsoft Sentinel SIEM en de bijbehorende werkstromen voor beveiligingsbewerkingen
Opslagniveaus
Microsoft Sentinel is ontworpen met twee afzonderlijke opslaglagen om de kosten en prestaties te optimaliseren:
- Analyselaag: de bestaande Microsoft Sentinel-gegevenslaag die geavanceerde opsporing, waarschuwingen en incidentbeheer ondersteunt, zodat u proactief problemen in uw infrastructuur en toepassingen kunt identificeren en oplossen. Deze laag is ontworpen voor analyses met hoge prestaties en realtime gegevensverwerking.
- Data Lake-laag: biedt gecentraliseerde langetermijnopslag voor het uitvoeren van query's en geavanceerde analyses op basis van Python. Het is ontworpen voor kosteneffectieve retentie van grote hoeveelheden beveiligingsgegevens voor maximaal 12 jaar. Gegevens in de analyselaag worden gespiegeld aan de lake-laag, waarbij één kopie van de gegevens behouden blijft.
Zie Gegevenslagen en retentie beheren in de Microsoft Defender-portal voor meer informatie over gegevenslagen en retentie.
Ondersteunde gegevensbronnen
Microsoft Sentinel data lake werkt met alle bestaande Sentinel-gegevensconnectors, waaronder:
- Alle Gegevensbronnen van Microsoft Defender en Microsoft Sentinel
- Microsoft 365
- Microsoft Entra ID
- Microsoft Resource Graph
- EDR-platformen (Endpoint Detection and Response)
- Firewall- en netwerklogboeken
- Telemetrie van cloudinfrastructuur en werklast
- Identiteits- en toegangslogboeken (Microsoft Entra, Okta, enzovoort)
- Telemetrie van DNS, proxy en e-mail
Flexibele query's uitvoeren met Kusto-querytaal
Met KQL-query's (Data Lake Exploration Kusto Query Language) kunt u query's schrijven en uitvoeren op data lake-resources. Gebruik de query-editor om gegevens te verkennen, het gegevensmeer te analyseren en taken te maken die gegevens van de gegevensmeerlaag overzetten naar de analyselaag. KQL-query's bieden de volgende belangrijke functies:
- KQL-query-editor: biedt bewerking en uitvoeren van KQL-query's met IntelliSense en automatisch aanvullen.
- Volledige ondersteuning voor KQL: gebruik het volledige scala aan KQL-mogelijkheden, waaronder machine learning-functies en geavanceerde analyses.
- Taken creëren: creëer eenmalige of geplande taken om gegevens van de gegevensmeer naar de analyselaag te promoveren.
Zie KQL en microsoft Sentinel data lake voor meer informatie.
Krachtige analyses met Jupyter-notebooks
Jupyter-notebooks in microsoft Sentinel data lake bieden een krachtige omgeving voor gegevensanalyse en machine learning. Gebruik Python-bibliotheken om machine learning-modellen te bouwen en uit te voeren, geavanceerde analyses uit te voeren en uw gegevens te visualiseren. De notebooks bieden ondersteuning voor uitgebreide visualisaties, zodat u inzicht krijgt in uw beveiligingsgegevens. Plan notebooks om regelmatig gegevens samen te vatten, machine learning-modellen uit te voeren en gegevens van de Data Lake-laag naar de analyselaag te promoveren.
Zie Jupyter-notebooks in de Data Lake van Microsoft Sentinel voor meer informatie.
Activiteitscontrole
De Data Lake van Microsoft Sentinel biedt controle waarmee activiteiten in het meer worden bijgehouden. In het auditlogboek worden gegevenstoegang, taakbeheer en querygebeurtenissen vastgelegd, zodat u activiteiten kunt bewaken en onderzoeken.
Enkele van de gecontroleerde activiteiten zijn:
- Toegang tot data in een data lake met KQL-query's
- Notebooks uitvoeren op data lake
- Taken maken, bewerken, uitvoeren en verwijderen
Controle is standaard ingeschakeld voor de Microsoft Sentinel Data Lake. Gecontroleerde acties worden weergegeven in het auditlogboek.
Zie auditlogboek voor Microsoft Sentinel data lake voor meer informatie over gecontroleerde data lake-activiteiten.
Ondersteunde regio's
Zie Regio's die worden ondersteund voor Microsoft Sentinel data lake voor ondersteunde regio's.
Get started
Volg deze stappen in de onboardinghandleiding om aan de slag te gaan met Microsoft Sentinel Data Lake. Zie de volgende artikelen voor meer informatie over het gebruik van microsoft Sentinel Data Lake: