Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Voor Microsoft Sentinel werkruimten die zijn verbonden met Defender, moet het beheer van lagen en retentie worden uitgevoerd vanuit de nieuwe tabelbeheerervaring in de Defender-portal. Gebruik voor niet-gekoppelde Microsoft Sentinel werkruimten de onderstaande ervaringen om gegevens in uw werkruimten te beheren.
Er zijn twee concurrerende aspecten van logboekverzameling en -retentie die essentieel zijn voor een succesvol detectieprogramma voor bedreigingen. Aan de ene kant wilt u het aantal logboekbronnen maximaliseren dat u verzamelt, zodat u de meest uitgebreide beveiligingsdekking hebt die mogelijk is. Aan de andere kant moet u de kosten voor de opname van al die gegevens minimaliseren.
Voor deze concurrerende behoeften is een strategie voor logboekbeheer vereist waarin gegevenstoegankelijkheid, queryprestaties en opslagkosten in balans worden gebracht.
In dit artikel worden categorieën gegevens en de bewaarstatussen besproken die worden gebruikt voor het opslaan en openen van uw gegevens. Ook worden de logboeklagen beschreven Microsoft Sentinel u een strategie voor logboekbeheer en -retentie kunt bouwen.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Categorieën van opgenomen gegevens
Microsoft raadt aan om opgenomen gegevens in Microsoft Sentinel te classificeren in twee algemene categorieën:
Primaire beveiligingsgegevens zijn gegevens die een kritieke beveiligingswaarde bevatten. Deze gegevens worden gebruikt voor realtime proactieve bewaking, geplande waarschuwingen en analyses om beveiligingsrisico's te detecteren. De gegevens moeten in bijna realtime beschikbaar zijn voor alle Microsoft Sentinel ervaringen.
Secundaire beveiligingsgegevens zijn aanvullende gegevens, vaak in uitgebreide logboeken met grote volumes. Deze gegevens hebben een beperkte beveiligingswaarde, maar kunnen extra rijkdom en context bieden voor detecties en onderzoeken, waardoor het volledige beeld van een beveiligingsincident kan worden weergegeven. Het hoeft niet direct beschikbaar te zijn, maar moet zo nodig op aanvraag en in de juiste doses toegankelijk zijn.
Primaire beveiligingsgegevens
Deze categorie bestaat uit logboeken met een kritieke beveiligingswaarde voor uw organisatie. Voorbeelden van primaire gebruiksgegevens voor beveiligingsbewerkingen zijn:
Regelmatige bewaking. Regels voor bedreigingsdetectie (analyse) worden regelmatig of in bijna realtime uitgevoerd op deze gegevens.
Opsporing op aanvraag. Complexe query's worden uitgevoerd op deze gegevens om interactieve, hoogwaardige opsporing op beveiligingsrisico's uit te voeren.
Correlatie. Gegevens uit deze bronnen worden gecorreleerd met gegevens uit andere primaire beveiligingsgegevensbronnen om bedreigingen te detecteren en aanvalsverhalen op te bouwen.
Regelmatige rapportage. Gegevens uit deze bronnen zijn direct beschikbaar voor het samenstellen van regelmatige rapporten over de beveiligingsstatus van de organisatie, voor zowel beveiligings- als algemene besluitvormers.
Gedragsanalyse. Gegevens uit deze bronnen worden gebruikt om basislijngedragsprofielen te maken voor uw gebruikers en apparaten, zodat u buitengesloten gedrag als verdacht kunt identificeren.
Enkele voorbeelden van primaire gegevensbronnen zijn:
- Logboeken van antivirus- of bedrijfsdetectie- en responssystemen (EDR)
- Verificatielogboeken
- Audittrails van cloudplatforms
- Feeds voor bedreigingsinformatie
- Waarschuwingen van externe systemen
Logboeken met primaire beveiligingsgegevens moeten worden opgeslagen met behulp van de analyselaag.
Secundaire beveiligingsgegevens
Deze categorie omvat logboeken waarvan de afzonderlijke beveiligingswaarde beperkt is, maar die essentieel zijn voor een uitgebreide weergave van een beveiligingsincident of -inbreuk. Deze logboeken zijn doorgaans groot en kunnen uitgebreid zijn. De gebruiksscenario's voor beveiligingsbewerkingen voor deze gegevens zijn onder andere:
Bedreigingsinformatie. Primaire gegevens kunnen worden gecontroleerd aan de hand van lijsten met Indicators of Compromise (IoC) of Indicators of Attack (IoA) om bedreigingen snel en eenvoudig te detecteren.
Ad-hoc opsporing/onderzoeken. Gegevens kunnen gedurende 30 dagen interactief worden opgevraagd, waardoor cruciale analyses voor het opsporen en onderzoeken van bedreigingen mogelijk zijn.
Grootschalige zoekopdrachten. Gegevens kunnen op petabyteschaal op de achtergrond worden opgenomen en doorzocht, terwijl ze efficiënt worden opgeslagen met minimale verwerking.
Samenvatting via KQL-taken. Vat logboeken met grote volumes samen in geaggregeerde informatie en sla de resultaten op in de analyselaag.
Enkele voorbeelden van secundaire gegevenslogboekbronnen zijn cloudopslagtoegangslogboeken, NetFlow-logboeken, TLS/SSL-certificaatlogboeken, firewalllogboeken, proxylogboeken en IoT-logboeken.
Gebruik voor logboeken met secundaire beveiligingsgegevens de Microsoft Sentinel Data Lake, die is ontworpen om verbeterde schaalbaarheid, flexibiliteit en integratiemogelijkheden te bieden voor geavanceerde beveiligings- en nalevingsscenario's.
Lagen voor logboekbeheer
Microsoft Sentinel biedt twee verschillende opslaglagen voor logboeken, of typen, voor deze categorieën opgenomen gegevens.
Het analyselaagplan is ontworpen om primaire beveiligingsgegevens op te slaan en deze eenvoudig en voortdurend toegankelijk te maken bij hoge prestaties.
De data lake-laag is geoptimaliseerd voor het opslaan van secundaire beveiligingsgegevens gedurende langere perioden, met behoud van toegankelijkheid.
Analyselaag
De analyselaag bewaart gegevens standaard 90 dagen in de interactieve bewaarstatus, uitbreidbaar voor maximaal twee jaar. Met deze interactieve status, hoewel duur, kunt u onbeperkt query's uitvoeren op uw gegevens, met hoge prestaties, gratis per query.
Data Lake-laag
Microsoft Sentinel data lake is een volledig beheerd, modern data lake waarmee beveiligingsgegevens op schaal worden gecombineerd en bewaard, waardoor geavanceerde analyses mogelijk zijn voor meerdere modaliteiten en detectie van bedreigingen met BEHULP van AI-agent. Het stelt beveiligingsteams in staat om bedreigingen op lange termijn te onderzoeken, waarschuwingen te verrijken en gedragsbasislijnen te bouwen met behulp van maanden aan gegevens.
Wanneer de totale retentie is geconfigureerd om langer te zijn dan de retentie van de analyselaag of wanneer de bewaarperiode van de analyselaag afloopt, blijven gegevens die zijn opgeslagen buiten de retentielaag van de analyselaag toegankelijk in de data lake-laag.
Verwante onderwerpen
- Zie Microsoft Sentinel data lake voor meer informatie over Microsoft Sentinel data lake.
- Zie Gegevens onboarden naar Microsoft Sentinel data lake als u wilt onboarden naar Microsoft Sentinel data lake.