Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
För Microsoft Sentinel arbetsytor som är anslutna till Defender måste nivåindelning och kvarhållningshantering utföras från den nya tabellhanteringsupplevelsen i Defender-portalen. För ej anslutna Microsoft Sentinel arbetsytor fortsätter du att använda de funktioner som beskrivs nedan för att hantera data på dina arbetsytor.
Det finns två konkurrerande aspekter av logginsamling och kvarhållning som är viktiga för ett lyckat program för hotidentifiering. Å ena sidan vill du maximera antalet loggkällor som du samlar in, så att du får så omfattande säkerhetstäckning som möjligt. Å andra sidan måste du minimera kostnaderna för inmatning av alla dessa data.
Dessa konkurrerande behov kräver en logghanteringsstrategi som balanserar datatillgänglighet, frågeprestanda och lagringskostnader.
Den här artikeln beskriver kategorier av data och de kvarhållningstillstånd som används för att lagra och komma åt dina data. Den beskriver även loggnivåerna Microsoft Sentinel erbjuder dig att skapa en strategi för logghantering och kvarhållning.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Kategorier av inmatade data
Microsoft rekommenderar att du klassificerar data som matas in i Microsoft Sentinel i två allmänna kategorier:
Primära säkerhetsdata är data som innehåller kritiska säkerhetsvärden. Dessa data används för proaktiv övervakning i realtid, schemalagda aviseringar och analys för att identifiera säkerhetshot. Data måste vara lättillgängliga för alla Microsoft Sentinel upplevelser i nära realtid.
Sekundära säkerhetsdata är kompletterande data, ofta i utförliga loggar med stora volymer. Dessa data har ett begränsat säkerhetsvärde, men de kan ge ökad rikedom och kontext för identifieringar och undersökningar, vilket hjälper till att skapa en fullständig bild av en säkerhetsincident. Det behöver inte vara lättillgängligt, men bör vara tillgängligt på begäran efter behov och i lämpliga doser.
Primära säkerhetsdata
Den här kategorin består av loggar som har ett kritiskt säkerhetsvärde för din organisation. Primära användningsfall för säkerhetsdata för säkerhetsåtgärder är:
Frekvent övervakning. Hotidentifieringsregler (analys) körs på dessa data med jämna mellanrum eller nästan i realtid.
Jakt på begäran. Komplexa frågor körs på dessa data för att köra interaktiv jakt på säkerhetshot med höga prestanda.
Korrelation. Data från dessa källor korreleras med data från andra primära säkerhetsdatakällor för att identifiera hot och skapa angreppsberättelser.
Regelbunden rapportering. Data från dessa källor är lättillgängliga för kompilering till regelbundna rapporter om organisationens säkerhetshälsa, för både säkerhets- och allmänna beslutsfattare.
Beteendeanalys. Data från dessa källor används för att skapa baslinjebeteendeprofiler för dina användare och enheter, så att du kan identifiera outlying-beteenden som misstänkta.
Några exempel på primära datakällor är:
- Loggar från antivirus- eller EDR-system (Enterprise Detection and Response)
- Autentiseringsloggar
- Spårningsloggar från molnplattformar
- Hotinformationsflöden
- Aviseringar från externa system
Loggar som innehåller primära säkerhetsdata bör lagras med hjälp av analysnivån.
Sekundära säkerhetsdata
Den här kategorin omfattar loggar vars enskilda säkerhetsvärde är begränsat men som är viktiga för att ge en heltäckande vy över en säkerhetsincident eller ett intrång. Dessa loggar är vanligtvis stora och kan vara utförliga. Användningsfallen för säkerhetsåtgärder för dessa data omfattar följande:
Hotinformation. Primära data kan kontrolleras mot listor över indikatorer för kompromettering (IoC) eller indikatorer för attack (IoA) för att snabbt och enkelt identifiera hot.
Ad hoc-jakt/undersökningar. Data kan efterfrågas interaktivt i 30 dagar, vilket underlättar avgörande analys för hotjakt och undersökningar.
Storskaliga sökningar. Data kan matas in och sökas i bakgrunden i petabyteskala, samtidigt som de lagras effektivt med minimal bearbetning.
Sammanfattning via KQL-jobb. Sammanfatta loggar med stora volymer i aggregerad information och lagra resultaten på analysnivån.
Några exempel på sekundära dataloggkällor är åtkomstloggar för molnlagring, NetFlow-loggar, TLS/SSL-certifikatloggar, brandväggsloggar, proxyloggar och IoT-loggar.
För loggar som innehåller sekundära säkerhetsdata använder du Microsoft Sentinel datasjö, som är utformad för att erbjuda förbättrad skalbarhet, flexibilitet och integreringsfunktioner för avancerade säkerhets- och efterlevnadsscenarier.
Logghanteringsnivåer
Microsoft Sentinel tillhandahåller två olika logglagringsnivåer, eller typer, för att hantera dessa kategorier av inmatade data.
Planen på analysnivå är utformad för att lagra primära säkerhetsdata och göra dem enkla och ständigt tillgängliga med höga prestanda.
Datasjönivån är optimerad för att lagra sekundära säkerhetsdata kostnadseffektivt under längre perioder, samtidigt som tillgängligheten bibehålls.
Analysnivå
Analysnivån håller data i interaktivt kvarhållningstillstånd i 90 dagar som standard, vilket är utökningsbart i upp till två år. Med det här interaktiva tillståndet, även om det är dyrt, kan du köra frågor mot dina data på ett obegränsat sätt, med höga prestanda utan kostnad per fråga.
Datasjönivå
Microsoft Sentinel datasjö är en fullständigt hanterad, modern datasjö som förenar och behåller säkerhetsdata i stor skala, vilket möjliggör avancerad analys över flera metoder och AI-agentisk hotidentifiering. Det ger säkerhetsteam möjlighet att undersöka långsiktiga hot, utöka aviseringar och skapa beteendebaslinjer med hjälp av månader av data.
När den totala kvarhållningen har konfigurerats att vara längre än kvarhållningen på analysnivån, eller när kvarhållningsperioden för analysnivån slutar, fortsätter data som lagras utanför kvarhållningen på analysnivån att vara tillgängliga på datasjönivån.
Relaterat innehåll
- Mer information om Microsoft Sentinel datasjö finns i Microsoft Sentinel datasjö.
- Information om hur du registrerar för att Microsoft Sentinel datasjö finns i Publicera data för att Microsoft Sentinel datasjö.