Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel Data Lake ist ein zweckorientierter cloudeigener Sicherheitsdatensee, der transformiert, wie Organisationen Sicherheitsdaten verwalten und analysieren. Konzipiert als echter Data Lake, nimmt er große Mengen diverser Sicherheitsdaten auf, speichert und analysiert sie in großem Maßstab. Durch die Zentrale von Sicherheitsdaten in einer einzigen, offenen, erweiterbaren Plattform bietet sie umfassende Sichtbarkeit, langfristige Aufbewahrung und erweiterte Analysen.
Der Data Lake ermöglicht Es Ihnen, alle Ihre Sicherheitsdaten kosteneffizient in Microsoft Sentinel zu integrieren und die Notwendigkeit zu entfernen, zwischen Abdeckung und Kosten zu wählen. Sie können mehr Daten länger aufbewahren, Bedrohungen mit größerem Kontext und historischer Tiefe erkennen und schneller reagieren, ohne die Sicherheit zu beeinträchtigen.
Der Microsoft Sentinel-Datensee wird vollständig verwaltet, sodass Sie keine Dateninfrastruktur bereitstellen oder verwalten müssen. Es bietet eine einheitliche Datenplattform für End-to-End-Bedrohungsanalyse und -reaktion. Es speichert eine einzelne Kopie von Sicherheitsdaten über Ressourcen, Aktivitätsprotokolle und Bedrohungsintelligenz im See und nutzt mehrere Analysetools wie KQL- und Jupyter-Notizbücher für umfassende Sicherheitsanalysen.
Herkömmliche SIEM-Lösungen kämpfen mit den Kosten und der Komplexität der Speicherung und Abfrage langfristiger Sicherheitsdaten. Der Microsoft Sentinel-Datensee löst diese Herausforderungen auf folgende Weise:
- Vereinheitlichen von Sicherheitsdaten in Microsoft Defender XDR, Quellen und Ressourcen von Drittanbietern, Aktivitätsprotokollen und Bedrohungserkennung
- Optimieren von Kosten mit mehrstufigem Speicher, Höherstufen von Daten bei Bedarf und einer einzelnen Kopie der Daten
- Ermöglichen von tiefen Sicherheitseinblicken mit bis zu 12 Jahren Sicherheitsdaten und Telemetrie, die Sie abfragen und analysieren können
- Antrieb von KI und Automatisierung für eine schnellere Erkennung und Reaktion.
Verwenden Sie mit einer einzigen Kopie von Daten KQL, um Abfragen und Jupyter-Notizbücher mit komplexen Python-Bibliotheken und Machine Learning-Tools auszuführen, um eine tiefere Analyse für Forensik, Inzidenzreaktion und Anomalieerkennung durchzuführen.
Architecture
Microsoft Sentinel Data Lake, der auf der skalierbaren Infrastruktur von Azure basiert, erleichtert die zentrale Erfassung, Analyse und Aktion in verschiedenen Datenquellen. Die technische Architektur des Microsoft Sentinel Data Lake umfasst die folgenden wichtigsten Vorteile:
- Open-Format-Parquet-Datendateien für Interoperabilität und Erweiterbarkeit
- Einzelne Kopie von Daten für effiziente und kostengünstige Speicherung
- Trennung von Speicher und Berechnung für größere Flexibilität
- Unterstützung für mehrere Analyse-Engines, um Einblicke aus Ihren Sicherheitsdaten zu erschließen
- Native Integration mit Microsoft Sentinel SIEM und deren Workflows für Sicherheitsvorgänge
Speicherebenen
Microsoft Sentinel wurde mit zwei unterschiedlichen Speicherebenen entwickelt, um Kosten und Leistung zu optimieren:
- Analyseebene: Die vorhandene Microsoft Sentinel-Datenebene, die erweiterte Suche, Warnung und Vorfallverwaltung unterstützt, um Probleme in Ihrer Infrastruktur und Anwendungen proaktiv zu identifizieren und zu beheben. Diese Stufe ist für hochleistungsreiche Analysen und Echtzeitdatenverarbeitung konzipiert.
- Data Lake-Ebene: Bietet zentralisierten langfristigen Speicher für Abfragen und Python-basierte erweiterte Analysen. Es wurde für eine kostengünstige Aufbewahrung großer Mengen von Sicherheitsdaten für bis zu 12 Jahre entwickelt. Daten auf der Analyseebene werden auf die Seeebene gespiegelt, wobei eine einzelne Kopie der Daten erhalten bleibt.
Weitere Informationen zu Datenebenen und -aufbewahrung finden Sie unter Verwalten von Datenebenen und Aufbewahrung im Microsoft Defender-Portal.
Unterstützte Datenquellen
Microsoft Sentinel-Datenlake funktioniert mit allen vorhandenen Sentinel-Datenkonnektoren, einschließlich:
- Alle Microsoft Defender- und Microsoft Sentinel-Datenquellen
- Microsoft 365
- Microsoft Entra ID
- Microsoft Resource Graph
- Endpunkterkennungs- und Reaktionsplattformen (EDR)
- Firewall- und Netzwerkprotokolle
- Telemetrie für Cloud-Infrastruktur und Workloads
- Identitäts- und Zugriffsprotokolle (Microsoft Entra, Okta usw.)
- DNS-, Proxy- und E-Mail-Telemetrie
Flexible Abfrage mit Kusto-Abfragesprache
Mithilfe von KQL-Abfragen (Data Lake Exploration Kusto Query Language) können Sie Abfragen für Data Lake-Ressourcen schreiben und ausführen. Verwenden Sie den Abfrage-Editor, um Daten zu untersuchen, den See zu analysieren und Aufträge zu erstellen, die Daten aus der Datenseeebene auf die Analyseebene heraufstufen. KQL-Abfragen bieten die folgenden wichtigsten Features:
- KQL-Abfrage-Editor: Stellt die Bearbeitung und Ausführung von KQL-Abfragen mit IntelliSense und AutoVervollständigen bereit.
- Vollständige Unterstützung für KQL: Verwenden Sie die gesamte Palette von KQL-Funktionen, einschließlich Machine Learning-Funktionen und erweiterter Analysen.
- Auftragserstellung: Erstellen Sie einmalige oder geplante Aufträge, um Daten vom Lake auf die Analyseebene hochzustufen.
Weitere Informationen finden Sie unter KQL und dem Microsoft Sentinel-Datensee.
Leistungsstarke Analysen mithilfe von Jupyter-Notizbüchern
Jupyter-Notizbücher im Microsoft Sentinel-Datensee bieten eine leistungsstarke Umgebung für Datenanalyse und maschinelles Lernen. Verwenden Sie Python-Bibliotheken, um Machine Learning-Modelle zu erstellen und auszuführen, erweiterte Analysen durchzuführen und Ihre Daten zu visualisieren. Die Notizbücher unterstützen umfangreiche Visualisierungen, sodass Sie Einblicke aus Ihren Sicherheitsdaten gewinnen können. Planen Sie Notebooks, um regelmäßig Daten zusammenzufassen, Machine Learning-Modelle auszuführen und Daten von der Data Lake-Ebene auf die Analyseebene hochzustufen.
Weitere Informationen finden Sie unter Jupyter-Notizbücher im Microsoft Sentinel-Datensee.
Aktivitätsüberwachung
Der Microsoft Sentinel-Datensee bietet Überwachungsmaßnahmen, die Aktivitäten im See nachverfolgen. Das Überwachungsprotokoll erfasst Datenzugriffs-, Auftragsverwaltungs- und Abfrageereignisse, sodass Sie Aktivitäten überwachen und untersuchen können.
Einige der überwachten Aktivitäten sind:
- Zugreifen auf Daten im See mit KQL-Abfragen
- Ausführen von Notizbüchern im Data Lake
- Erstellen, Bearbeiten, Ausführen und Löschen von Aufträgen
Die Überwachung ist standardmäßig für den Microsoft Sentinel-Datensee aktiviert. Überwachte Aktionen werden im Überwachungsprotokoll angezeigt.
Weitere Informationen zu überwachten Datenseeaktivitäten finden Sie im Überwachungsprotokoll für den Microsoft Sentinel-Datensee.
Unterstützte Regionen
Siehe unterstützte Regionen für den Microsoft Sentinel Data Lake für unterstützte Regionen.
Get started
Führen Sie die folgenden Schritte im Onboarding-Leitfaden aus, um mit Microsoft Sentinel Data Lake zu beginnen. Weitere Informationen zur Verwendung des Microsoft Sentinel-Datensees finden Sie in den folgenden Artikeln: