Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os dados de ativos na cibersegurança referem-se às entidades físicas e digitais de uma organização, como computadores, identidades, software, serviços cloud e redes. Mostra o que existe para que saiba o que tem de ser protegido. O data lake do Microsoft Sentinel adiciona um valor poderoso ao armazenar estes dados de recursos de uma forma dimensionável e económica que suporta a retenção de longo prazo, a análise avançada e a deteção de ameaças orientadas por IA. Com visibilidade unificada em todos os sistemas e gestão de dados flexível, o Sentinel Lake ajuda as equipas de segurança a compreender o seu ambiente, a detetar atividades invulgares e a responder a ameaças.
Como é que a ingestão de dados de recursos está ativada no Sentinel data lake?
Ao integrar o Sentinel lake, os dados dos recursos são ingeridos automaticamente se tiver as permissões adequadas. Para obter mais informações, veja Permissões necessárias para origens de recursos.
Se não tiver permissões suficientes, as tabelas de recursos são criadas, mas não são ingeridos dados. Ative manualmente a ingestão de dados de ativos da seguinte forma:
- Aceda à área de trabalho Microsoft Sentinel no portal do Azure.
- Navegue para a página Conectores de dados .
- Localize o conector de origem de dados do recurso relevante.
- Selecione o conector e siga as instruções para ativar a ingestão.
Os dados dos recursos são ingeridos apenas na camada Microsoft Sentinel data lake. Após a integração, os dados dos recursos podem demorar até 24 horas a chegar ao lago.
Por predefinição, os dados do recurso são retidos durante 30 dias. A retenção pode ser expandida até 12 anos. Para obter mais informações sobre como gerir a retenção de tabelas, veja a documentação de Gestão de Tabelas.
Considerações de faturação
Os clientes incorrem em custos por ingestão de dados de ativos.
Os clientes incorrem em custos de retenção de dados de ativos.
Os instantâneos de dados de ativos são tirados uma vez a cada 24 horas.
Uma vez que a ingestão de dados de ativos está ativada por predefinição ao integrar no data lake Sentinel, é importante compreender a função fundamental dos conectores de dados Sentinel ativos que facilitam a ingestão de dados de ativos. Estes conectores de dados são responsáveis por trazer dados relacionados com recursos para Sentinel data lake e são agrupados nos respetivos pacotes Sentinel Solution. Pode detetar e gerir estas soluções através do Hub de Conteúdos.
Permissões necessárias para origens de recursos
A tabela seguinte descreve as várias origens de dados de recursos e os respetivos conectores de dados:
| Origem de Dados | Tabelas | Permissão | Solução do Conector de Dados |
|---|---|---|---|
| Azure Resource Graph (ARG) |
ARGResources ARGResourceContainers ARGAuthorizationResources |
Proprietário da Subscrição | Azure Resource Graph |
| Microsoft Entra ID |
EntraApplications EntraGroupMemberships EntraGroups EntraMembers EntraOrganizações EntraServicePrincipals EntraUsers |
Nenhum | Microsoft Entra ID Asset |
Nota
Determinados conectores de dados, incluindo, mas não se limitam a conectores de ativos, contribuem para a construção de gráficos de risco de dados no Purview. Se estes gráficos estiverem ativos, desativar os conectores associados interrompe a geração. As descrições dos conectores indicam se estão envolvidas na criação de gráficos de risco de dados.
Pré-requisitos
Para gerir os conectores de dados de recursos, tem de cumprir os seguintes pré-requisitos:
- Certifique-se de que tem o acesso e as permissões necessários para Microsoft Sentinel, conforme especificado na coluna Permissões da tabela anterior.
- Procure a solução relevante que contém o conector de dados no Hub de Conteúdos. O Hub de Conteúdos pode ser encontrado no menu Microsoft SentinelHub de Conteúdosda Gestão> de Conteúdos. Instale a solução se ainda não estiver instalada.
Configurar e Gerir
Aceda à página do conector de uma das seguintes formas:
A partir da solução instalada:
- Selecione Gerir
- Selecione o conector e, em seguida , Abrir página do conector
A partir da galeria conector:
- A galeria do Conector pode ser encontrada no menu Microsoft Sentinelconectores de Dados de Configuração>
Para editar o período de retenção da tabela, selecione nos três pontos (...) à direita do nome da tabela na grelha de gestão de tabelas. Selecione um período de retenção até 12 anos. Quando o conector de dados de ativos mostra um estado Ligado , o texto do botão de alternar mostra Desligar. Isto indica que a ingestão está ativada. Para desativar a ingestão, selecione o botão Desligar . Depois de desligado, o estado do conector mostra Desligado e o texto do botão alterna para Ligar.
Utilizar dados de recursos para melhorar os dados de atividade
Os dados de recursos adicionam informações e contexto valiosos que podem não ser evidentes apenas nos registos de atividades.
Por exemplo, ao investigar inícios de sessão de risco na SigninLogs tabela, pode melhorar a análise juntando-a à EntraUsers tabela para incluir atributos específicos do utilizador, como o departamento e a data de contratação. Este contexto adicional ajuda as equipas de segurança a compreender melhor o comportamento dos utilizadores e a avaliar potenciais ameaças de forma mais precisa.
SigninLogs
| where IsRisky == true
| join kind=leftouter (
EntraUsers
| summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate
Executar consultas KQL em dados de recursos
Para executar consultas KQL em dados de recursos no Sentinel data lake, certifique-se de que está a consultar no âmbito correto da área de trabalho. Siga estes passos:
Navegue para o menu Microsoft SentinelConsultas KQL de exploração> de data lake
Selecione o botão Área de trabalho selecionada .
Certifique-se de que a área de trabalho Tabelas do sistema está selecionada.
As tabelas de dados de ativos são apresentadas na categoria Asset:
Passos Seguintes
- Veja a documentação da Gestão de Tabelas para obter detalhes sobre as opções de arrumo de dados e as definições de retenção.
- Veja como os dados de recursos melhoram os gráficos de Risco de Dados do Purview.
- Como consultar Sentinel data lake