Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W przypadku Microsoft Sentinel obszarów roboczych połączonych z usługą Defender zarządzanie warstwami i przechowywaniem musi odbywać się z poziomu nowego środowiska zarządzania tabelami w portalu usługi Defender. W przypadku niedołączanych obszarów roboczych Microsoft Sentinel kontynuuj korzystanie z opisanych poniżej środowisk do zarządzania danymi w obszarach roboczych.
Istnieją dwa konkurujące ze sobą aspekty zbierania i przechowywania dzienników, które mają kluczowe znaczenie dla pomyślnego programu wykrywania zagrożeń. Z jednej strony chcesz zmaksymalizować liczbę zbieranych źródeł dzienników, aby zapewnić możliwie najbardziej kompleksowe pokrycie zabezpieczeń. Z drugiej strony należy zminimalizować koszty ponoszone przez pozyskiwanie wszystkich tych danych.
Te konkurencyjne potrzeby wymagają strategii zarządzania dziennikami, która równoważy dostępność danych, wydajność zapytań i koszty magazynu.
W tym artykule omówiono kategorie danych i stany przechowywania używane do przechowywania danych i uzyskiwania do nich dostępu. Opisano w nim również warstwy dzienników, Microsoft Sentinel oferuje tworzenie strategii zarządzania dziennikami i przechowywania.
Ważna
Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.
Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.
Kategorie pozyskanych danych
Firma Microsoft zaleca sklasyfikowanie danych pozyskanych do Microsoft Sentinel na dwie ogólne kategorie:
Podstawowe dane zabezpieczeń to dane zawierające krytyczną wartość zabezpieczeń. Te dane są używane do aktywnego monitorowania w czasie rzeczywistym, zaplanowanych alertów i analiz w celu wykrywania zagrożeń bezpieczeństwa. Dane muszą być łatwo dostępne dla wszystkich środowisk Microsoft Sentinel niemal w czasie rzeczywistym.
Pomocnicze dane zabezpieczeń to dane uzupełniające, często w dużych ilościach, pełne dzienniki. Te dane mają ograniczoną wartość zabezpieczeń, ale mogą zapewnić dodatkowe bogactwo i kontekst do wykrywania i badania, co ułatwia narysowanie pełnego obrazu zdarzenia zabezpieczeń. Nie musi być łatwo dostępny, ale powinien być dostępny na żądanie w razie potrzeby i w odpowiednich dawkach.
Podstawowe dane zabezpieczeń
Ta kategoria składa się z dzienników z krytyczną wartością zabezpieczeń dla organizacji. Podstawowe przypadki użycia danych zabezpieczeń dla operacji zabezpieczeń obejmują:
Częste monitorowanie. Reguły wykrywania zagrożeń (analizy) są uruchamiane na tych danych w częstych odstępach czasu lub niemal w czasie rzeczywistym.
Polowanie na żądanie. Na tych danych są uruchamiane złożone zapytania w celu wykonania interaktywnego wyszukiwania zagrożeń bezpieczeństwa o wysokiej wydajności.
Korelacja. Dane z tych źródeł są skorelowane z danymi z innych podstawowych źródeł danych zabezpieczeń w celu wykrywania zagrożeń i tworzenia historii ataków.
Regularne raportowanie. Dane z tych źródeł są łatwo dostępne do kompilowania w regularnych raportach dotyczących kondycji zabezpieczeń organizacji, zarówno dla osób podejmujących decyzje dotyczące zabezpieczeń, jak i ogólnych.
Analiza zachowań. Dane z tych źródeł służą do tworzenia profilów zachowania punktu odniesienia dla użytkowników i urządzeń, co umożliwia identyfikowanie zachowań wychodzących jako podejrzanych.
Oto kilka przykładów podstawowych źródeł danych:
- Dzienniki z systemów wykrywania i reagowania przedsiębiorstwa (EDR)
- Dzienniki uwierzytelniania
- Dzienniki inspekcji z platform w chmurze
- Źródła danych analizy zagrożeń
- Alerty z systemów zewnętrznych
Dzienniki zawierające podstawowe dane zabezpieczeń powinny być przechowywane przy użyciu warstwy analizy.
Pomocnicze dane zabezpieczeń
Ta kategoria obejmuje dzienniki, których indywidualna wartość zabezpieczeń jest ograniczona, ale są niezbędne do zapewnienia kompleksowego wglądu w zdarzenie lub naruszenie zabezpieczeń. Zazwyczaj te dzienniki są duże i mogą być pełne. Przypadki użycia operacji zabezpieczeń dla tych danych obejmują następujące elementy:
Analiza zagrożeń. Podstawowe dane można sprawdzać na listach wskaźników naruszenia (IoC) lub wskaźników ataku (IoA), aby szybko i łatwo wykrywać zagrożenia.
Ad hoc hunting/investigations. Dane można wysyłać interakcyjnie przez 30 dni, co ułatwia kluczową analizę zagrożeń i badań.
Wyszukiwania na dużą skalę. Dane mogą być pozyskiwane i przeszukiwane w tle w skali petabajtów, przy jednoczesnym wydajnym przechowywaniu przy minimalnym przetwarzaniu.
Podsumowanie za pośrednictwem zadań KQL. Podsumuj dzienniki o dużej ilości danych zagregowane i zapisz wyniki w warstwie analizy.
Niektóre przykłady pomocniczych źródeł dzienników danych to dzienniki dostępu do magazynu w chmurze, dzienniki platformy NetFlow, dzienniki certyfikatów protokołu TLS/SSL, dzienniki zapory, dzienniki serwera proxy i dzienniki IoT.
W przypadku dzienników zawierających pomocnicze dane zabezpieczeń użyj usługi Microsoft Sentinel data lake, która została zaprojektowana w celu zapewnienia zwiększonej skalowalności, elastyczności i możliwości integracji w zaawansowanych scenariuszach zabezpieczeń i zgodności.
Warstwy zarządzania dziennikami
Microsoft Sentinel udostępnia dwie różne warstwy magazynowania dzienników lub typy w celu uwzględnienia tych kategorii pozyskanych danych.
Plan warstwy analizy jest przeznaczony do przechowywania podstawowych danych zabezpieczeń i zapewniania ich łatwego i stałego dostępu przy wysokiej wydajności.
Warstwa usługi Data Lake jest zoptymalizowana pod kątem ekonomicznego przechowywania pomocniczych danych zabezpieczeń w dłuższym okresie, przy jednoczesnym zachowaniu ułatwień dostępu.
Warstwa analizy
Warstwa analizy domyślnie przechowuje dane w interakcyjnym stanie przechowywania przez 90 dni, rozszerzalne przez maksymalnie dwa lata. Ten interaktywny stan, choć kosztowny, umożliwia wykonywanie zapytań dotyczących danych w nieograniczony sposób, z wysoką wydajnością, bez opłat za zapytanie.
Warstwa usługi Data Lake
Microsoft Sentinel data lake to w pełni zarządzane, nowoczesne rozwiązanie data lake, które ujednolica i zachowuje dane zabezpieczeń na dużą skalę, umożliwiając zaawansowaną analizę wielu metod i wykrywanie zagrożeń opartych na agentach sztucznej inteligencji. Umożliwia zespołom ds. zabezpieczeń badanie długoterminowych zagrożeń, wzbogacanie alertów i tworzenie behawioralnych punktów odniesienia przy użyciu miesięcy danych.
Gdy łączne przechowywanie jest skonfigurowane tak, aby było dłuższe niż przechowywanie w warstwie analizy lub po zakończeniu okresu przechowywania warstwy analizy, dane przechowywane poza przechowywaniem warstwy analizy są nadal dostępne w warstwie usługi Data Lake.
Zawartość pokrewna
- Aby dowiedzieć się więcej o Microsoft Sentinel data lake, zobacz Microsoft Sentinel data lake.
- Aby dołączyć do usługi data lake Microsoft Sentinel, zobacz Dołączanie danych do Microsoft Sentinel data lake.