Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Microsoft Sentinel Data Lake ist ein mandantenweites Repository zum Sammeln, Speichern und Verwalten großer Mengen sicherheitsrelevanter Daten aus verschiedenen Quellen. Sie ermöglicht umfassende, einheitliche Analyse und Sichtbarkeit in Ihrer Sicherheitslandschaft. Microsoft Sentinel Graph ist eine einheitliche Graphfunktion innerhalb der Microsoft Sentinel-Plattform, die graphbasierte Erfahrungen über Sicherheit, Compliance, Identität und das gesamte Ökosystem hinweg unterstützt. Diese Lösungen verwenden erweiterte Analysen, maschinelles Lernen, Diagramme und KI, um Bedrohungen zu erkennen, Vorfälle zu untersuchen und darauf zu reagieren und den gesamten Sicherheitsstatus zu verbessern.
Microsoft Sentinel-Datensee und -Diagramm sind in den folgenden Lösungen verfügbar:
- Microsoft Defender XDR
- Microsoft Purview-Untersuchungen zur Datensicherheit
- Microsoft Purview Insider-Risikomanagement
Prerequisites
Von Bedeutung
Wenn Ihre Organisation Customer-Managed Keys (CMK) für die Datenverschlüsselung verwendet, beachten Sie, dass CMK für Daten, die im Microsoft Sentinel-Datensee gespeichert sind, nicht vollständig unterstützt wird. Alle in den Datensee aufgenommenen Daten, z. B. benutzerdefinierte Tabellen oder transformierte Daten, werden mit von Microsoft verwalteten Schlüsseln verschlüsselt. Das Onboarding in den Microsoft Sentinel-Datensee stimmt möglicherweise nicht vollständig mit den Verschlüsselungsrichtlinien oder Datenschutzstandards Ihrer Organisation überein.
Um den Microsoft Sentinel Data Lake und Graph in Microsoft Defender XDR, Data Security Investigations und Insider Risk Management zu integrieren, müssen Sie die folgenden Voraussetzungen erfüllen:
- Microsoft Defender (
security.microsoft.com) und Microsoft Sentinel müssen konfiguriert werden. Eine Microsoft Defender XDR-Lizenz ist nicht erforderlich, um Microsoft Sentinel-Datensee mit Microsoft Sentinel im Microsoft Defender-Portal zu verwenden. - Eine vorhandenes Azure-Abonnement und eine Ressourcengruppe zum Einrichten der Abrechnung für den Data Lake. Sie müssen der Besitzer des direkten Abonnements sein – es reicht nicht aus, nur der Besitzer eines Abonnements auf Verwaltungsgruppesebene zu sein. Sie können Ihr vorhandenes Microsoft Sentinel SIEM Azure-Abonnement und Ihre Ressourcengruppe verwenden oder eine neue erstellen. Weitere Informationen zur Abrechnung finden Sie unter "Planen von Kosten und Verstehen von Microsoft Sentinel-Preisen und -Abrechnungen".
- Ein primärer Microsoft Sentinel-Arbeitsbereich, der mit dem Microsoft Defender-Portal verbunden ist. Ihr Datensee wird in derselben Region wie Ihre primäre Sentinel-Arbeitsbereichsregion bereitgestellt.
- Sie müssen über Leseberechtigungen für die primären und sonstigen Arbeitsbereiche verfügen, damit sie an den Data Lake angefügt werden können. Nur Arbeitsbereiche, die sich in der gleichen Region wie der primären Region Ihres Sentinel-Arbeitsbereichs befinden, sind mit dem Data-Lake verbunden.
- Wenn Ihre Microsoft 365-Daten nicht in derselben Region wie der Datensee liegen, stimmen Sie durch das Onboarding zum Datensee zu, dass Sie Ihre Microsoft 365-Daten in die Region übertragen, in der sich Ihr Datensee befindet.
Note
Überprüfen Sie vor dem Onboarding die Verfügbarkeit von Microsoft Data Lake und Graph in Ihrer Region, indem Sie auf Geografische Verfügbarkeit und Datenhaltung in Microsoft Sentinel zugreifen.
Weitere Voraussetzungen für Microsoft Purview
Zugriff vom Typ „Mitwirkender“ auf den primären Microsoft Sentinel-Arbeitsbereich, um die Erfassung Ihrer Microsoft 365-Aktivitätsdaten im primären Arbeitsbereich zu autorisieren.
Installieren und konfigurieren Sie die folgenden Datenkonnektoren, um Daten an einen mit Defender verbundenen Sentinel-Arbeitsbereich zu senden.
- Microsoft 365. Sie müssen SharePoint-Datensatztypen für das zu erstellende Diagramm sammeln.
- Microsoft Entra ID. Sie müssen Sign-In Protokolle und Benutzerrisikoereignisse erfassen.
Der Datenrisiko-Graph basiert auf Daten, die über Connectors für Office-Aktivitäten und Entra-Anmeldeprotokolle im Sentinel-Data Lake erfasst werden.
Erforderliche Rollen
Um die Abrechnung zu konfigurieren und die Erfassung von Ressourcendaten in den Data Lake zu ermöglichen, müssen die folgenden Rollen dem Mitgliedskonto des Mandanten zugewiesen werden:
- Azure-Abonnementbesitzer oder Abonnementmitwirkender für die Abrechnungseinrichtung
- Globaler Microsoft Entra-Administrator oder Sicherheitsadministrator für die Datenaufnahmeautorisierung von Microsoft Entra, Microsoft 365 und Azure
- Lesezugriff auf alle Arbeitsbereiche, um ihre Verknüpfung mit dem Data Lake zu ermöglichen
Änderungen, die beim Onboarding in Sentinel-Data Lake und Graph auftreten
Wenn Sie ein Onboarding in Data Lake und Graph vornehmen, nimmt der Prozess die folgenden Änderungen vor:
Es stellt Ihren Data Lake für Ihr ausgewähltes Abonnement und Ihre Ressourcengruppe bereit.
Ihr Data Lake wird in derselben Region wie Ihr primärer Sentinel-Arbeitsbereich bereitgestellt.
Er verbindet alle Arbeitsbereiche, die mit Defender verbunden sind und sich in der gleichen Region wie Ihr primärer Sentinel-Arbeitsbereich befinden, mit Ihrem Microsoft Sentinel-Datensee. Arbeitsbereiche, die nicht mit Defender verbunden sind, sind nicht an den Data Lake angeschlossen.
Sobald der Microsoft Sentinel-Datenlake aktiviert ist, sind die Daten in der Microsoft Sentinel-Analyseebene ab diesem Zeitpunkt auch ohne zusätzliche Kosten in der Microsoft Sentinel-Datenlake-Ebene verfügbar. Sie können vorhandene Microsoft Sentinel-Arbeitsbereichsconnectors verwenden, um neue Daten sowohl in die Analyse- als auch die Data Lake-Ebene oder nur in die Data Lake-Ebene zu erfassen.
Wenn Sie die Erfassung von Daten zum ersten Mal aktivieren oder zwischen Ebenen wechseln, dauert es 90 bis 120 Minuten, bis Daten in den Tabellen angezeigt werden. Sobald die Erfassung für die Data Lake-Ebene aktiviert ist, werden die Daten gleichzeitig im Data Lake und in den Tabellen auf Analyseebene angezeigt.
Ressourcendaten für die folgenden Microsoft-Dienste werden automatisch in Sentinel Data Lake System-Tabellen aufgenommen.
- Microsoft Entra
- Microsoft 365
- Azure Resource Graph
Systemtabellen werden in der Benutzeroberfläche zur Auswahl des Arbeitsbereichs innerhalb der Lake-Explorationserfahrungen angezeigt.
Wenn Ihre Microsoft 365-Daten nicht in derselben Region wie der Datensee liegen, stimmen Sie durch das Onboarding zum Datensee zu, dass Sie Ihre Microsoft 365-Daten in die Region übertragen, in der sich Ihr Datensee befindet.
Sie stellt Ihre Graph-Funktionen bereit und verwendet die Daten in Ihrem Data Lake, um die Graph-Umgebung für die Untersuchung und das Hunting in Defender zu verbessern.
Sie sehen neue Features, die für die Erkundung von Data Lakes, die Tabellenverwaltung, Datenconnectors, Einstellungen, Kostenverwaltung und Graph aktiviert sind.
Wenn Ihre Organisation derzeit Microsoft Sentinel Security Information and Event Management (SIEM) verwendet, werden die Abrechnung und Preise für Funktionen wie Suchaufträge und Abfragen, Hilfsprotokolle und langfristige Aufbewahrung (auch "Archiv" genannt) auf Microsoft Sentinel Datenlake-basierte Abrechnungszähler umgestellt, was potenziell Ihre Kosten erhöhen kann.
Es integriert Hilfsprotokolltabellen in den Microsoft Sentinel-Datensee. Zusatzprotokolltabellen in mit Microsoft Defender verbundenen Arbeitsbereichen, die in Microsoft Sentinel-Data Lake integriert sind, werden zu einem integralen Bestandteil des Data Lake. Dadurch stehen sie für die Verwendung in Data Lake-Umgebungen wie KQL-Abfragen und -Aufträgen zur Verfügung. Nach dem Onboarding sind Hilfsprotokolltabellen in der Microsoft Defender Advanced-Suche nicht mehr verfügbar. Stattdessen können Sie über KQL-Abfragen im Data Lake im Defender-Portal darauf zugreifen.
Note
Auf Zusatzprotokolltabellen für mit Microsoft Defender verbundene Arbeitsbereiche kann nicht mehr über die erweiterte Bedrohungssuche von Microsoft Defender zugegriffen werden, sobald der Data Lake aktiviert ist.
Sie erstellt eine verwaltete Identität mit dem Präfix
msg-resources-gefolgt von einer GUID (Globally Unique Identifier). Diese verwaltete Identität ist für die Data Lake-Funktionalität erforderlich. Die Identität hat die Rolle Azure Reader für Abonnements, die in den Data Lake integriert sind. Löschen oder entfernen Sie keine erforderlichen Berechtigungen aus dieser verwalteten Identität. Um die erstellung benutzerdefinierter Tabellen auf der Analyseebene zu aktivieren, weisen Sie dieser Identität die Rolle " Log Analytics-Mitwirkender " für die relevanten Log Analytics-Arbeitsbereiche zu. Weitere Informationen finden Sie unter Erstellen von KQL-Aufträgen im Microsoft Sentinel-Datensee.
Sobald Sie in den Microsoft Sentinel-Datensee integriert sind, können Sie die folgenden Features im Defender-Portal verwenden:
- KQL-Abfragen zur Data Lake-Erkundung
- Microsoft Sentinel-Datenlake-Aufträge
- Verwaltung von Datenebenen und Aufbewahrung
- Microsoft Sentinel-Kostenverwaltung
- Explosionsradiusanalyse bei Vorfalluntersuchungen
- Hunting-Graph bei der erweiterten Bedrohungssuche
Sie können auch die folgenden Features im Microsoft Purview-Lösungsportal verwenden, sobald Sie in den Data Lake integriert sind:
- Datenrisikodiagramme in Untersuchungen zur Datensicherheit
- Datenrisikodiagramme im Insider-Risikomanagement
In diesem Artikel wird beschrieben, wie für Kunden, die Microsoft Defender, Untersuchungen zur Datensicherheit, Insider-Risikomanagement und Microsoft Sentinel verwenden, das Onboarding in den Microsoft Sentinel-Data Lake durchgeführt werden kann. Neue Microsoft Sentinel-Kunden können dieses Verfahren nach dem anfänglichen Onboarding dieser Lösungen befolgen.
Richtlinienausnahme für das Onboarding von Microsoft Sentinel-Data Lake
Während des Onboardings von Microsoft Sentinel-Datensee können vorhandene Azure-Richtliniendefinitionen die Bereitstellung erforderlicher Ressourcen blockieren . Um ein erfolgreiches Onboarding sicherzustellen, ohne eine umfassendere Richtlinienerzwingung zu gefährden, konfigurieren Sie eine Richtlinienausnahme, die auf die Ressourcengruppe, die Sie integrieren, festgelegt ist.
Nehmen Sie insbesondere den folgenden Ressourcentyp aus: Microsoft.SentinelPlatformServices/sentinelplatformservices.
Mit dieser gezielten Ausnahme können die Komponenten von Sentinel Data Lake ordnungsgemäß bereitgestellt werden und gleichzeitig die Einhaltung der übergeordneten Azure-Governancerichtlinien beibehalten werden, die Sie möglicherweise bereits angewendet haben.
Wie Daten während des Onboardings hinzugefügt und gespeichert werden
Während des Onboardings wird Ihr Data Lake in derselben Region wie Ihr primärer Sentinel-Arbeitsbereich bereitgestellt. Möglicherweise aktivieren wir auch automatisch Microsoft Entra-, Microsoft 365- und Azure Resource Graph-Ressourcendaten. Wenn sich diese Daten nicht in derselben Region wie der Datensee befinden, stimmen Sie durch Onboarding an den Datensee zu, dass Sie diese Daten in der Region aufnehmen und speichern, in der sich Ihr Datensee befindet, damit Sie sie mit Microsoft Sentinel-Datensee- und Graph-Erfahrungen verwenden können. Ihre Bestandsdaten sind über Systemtabellen verfügbar, die Sie in der Arbeitsbereichsauswahl-UI in den Erkundungserfahrungen des Lake auswählen können. Weitere Informationen finden Sie unter Geografische Verfügbarkeit und Datenresidenz in Microsoft Sentinel.
Vorhandene Microsoft Sentinel-Arbeitsbereiche
Sie müssen Ihren primären Microsoft Sentinel-Arbeitsbereich mit dem Defender-Portal verbinden, um das Onboarding in den Data Lake durchzuführen. Ihr Datensee befindet sich in derselben Region wie Ihr primärer Sentinel-Arbeitsbereich. Sie können andere Arbeitsbereiche in derselben Region wie Ihr primärer Arbeitsbereich mit dem Defender-Portal verbinden, damit Sie sie mit dem Data Lake verwenden können. Wenn Sie das Onboarding in den Data Lake durchgeführt haben, sind Daten in Microsoft Sentinel-Arbeitsbereichen, die mit Defender verbunden sind, für die Nutzung mit dem Data Lake aktiviert. Weitere Informationen zum Verbinden von Microsoft Sentinel mit dem Defender-Portal finden Sie unter Verbinden von Microsoft Sentinel mit dem Microsoft Defender-Portal.
Sie können nicht auswählen, welche Arbeitsbereiche in den Datensee eingebunden werden sollen. Alle Arbeitsbereiche, die mit Defender in derselben Region wie Ihr primärer Sentinel-Arbeitsbereich verbunden sind, werden automatisch integriert. Sie können keine spezifischen Arbeitsbereiche selbstständig aus dem Data Lake entfernen. Wenn Sie einen Arbeitsbereich offboarden möchten, senden Sie eine Supportanfrage.
Offboarding von Microsoft Sentinel-Data Lake und Graph durchführen
Um Microsoft Sentinel Data Lake und Graph zu deaktivieren, senden Sie eine Supportanfrage.
Sind Sie bereit für die ersten Schritte?
Eine schrittweise Anleitung zum Onboarding und Konfigurieren von Microsoft Sentinel Data Lake und Graph in Microsoft-Lösungen finden Sie in den folgenden Artikeln:
- Konfigurieren von Microsoft Sentinel-Datensee und -Diagrammen in Microsoft Defender
- Konfigurieren von Microsoft Sentinel Data Lake und Graphdaten in Microsoft Purview-Untersuchungen zur Datensicherheit
- Konfigurieren von Microsoft Sentinel-Datensee und Graph in Microsoft Purview Insider Risk Management