Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Lago de datos de Microsoft Sentinel es un lago de datos de seguridad nativo de la nube diseñado específicamente que transforma la forma en que las organizaciones administran y analizan los datos de seguridad. Diseñado como un verdadero lago de datos, ingiere, almacena y analiza grandes volúmenes de diversos datos de seguridad a gran escala. Al centralizar los datos de seguridad en una única plataforma extensible de formato abierto, proporciona visibilidad profunda, retención a largo plazo y análisis avanzados.
El lago de datos le permite incorporar todos los datos de seguridad a Microsoft Sentinel de forma rentable, lo que elimina la necesidad de elegir entre cobertura y costo. Puede conservar más datos durante más tiempo, detectar amenazas con mayor contexto e profundidad histórica, y responder más rápido sin poner en peligro la seguridad.
El lago de datos de Microsoft Sentinel está totalmente administrado, por lo que no es necesario implementar ni mantener la infraestructura de datos. Proporciona una plataforma de datos unificada para el análisis y la respuesta de amenazas de un extremo a otro. Almacena una sola copia de datos de seguridad en recursos, registros de actividad e inteligencia sobre amenazas en el lago y aprovecha varias herramientas de análisis, como KQL y cuadernos de Jupyter Notebook para análisis de seguridad profundos.
Las soluciones SIEM tradicionales tienen problemas con el costo y la complejidad de almacenar y consultar datos de seguridad a largo plazo. El lago de datos de Microsoft Sentinel resuelve estos desafíos de las siguientes maneras:
- Unificación de los datos de seguridad en XDR de Microsoft Defender, orígenes y recursos de terceros, registros de actividad e inteligencia sobre amenazas
- Optimización de los costos con almacenamiento en capas, promoción de datos a petición y una sola copia de los datos
- Permitir información detallada de seguridad con hasta 12 años de datos de seguridad y telemetría que se pueden consultar y analizar.
- Potenciación de la inteligencia artificial y la automatización para una detección y respuesta más rápidas.
Con una sola copia de datos, use KQL para ejecutar consultas y cuadernos de Jupyter Notebook con sofisticadas bibliotecas de Python y herramientas de aprendizaje automático para realizar un análisis más profundo de análisis forense, respuesta a incidencias y detección de anomalías.
Architecture
Lago de datos de Microsoft Sentinel, basado en la infraestructura escalable de Azure, facilita la ingesta, el análisis y la acción centralizados en diversos orígenes de datos. La arquitectura técnica del lago de datos de Microsoft Sentinel incluye las siguientes ventajas clave:
- Abrir archivos de datos de formato abierto Parquet para interoperabilidad y extensibilidad
- Copia única de datos para un almacenamiento eficaz y rentable
- Separación del almacenamiento y el proceso para mayor flexibilidad
- Compatibilidad con varios motores de análisis para descubrir información en sus datos de seguridad
- Integración nativa con SIEM de Microsoft Sentinel y sus flujos de trabajo de operaciones de seguridad
Niveles de almacenamiento
Microsoft Sentinel está diseñado con dos niveles de almacenamiento distintos para optimizar el costo y el rendimiento:
- Nivel de análisis: el nivel de datos de Microsoft Sentinel existente que admite la búsqueda avanzada, las alertas y la administración de incidentes para ayudarle a identificar y resolver problemas de forma proactiva en la infraestructura y las aplicaciones. Este nivel está diseñado para el análisis de alto rendimiento y el procesamiento de datos en tiempo real.
- Capa de lago de datos: proporciona almacenamiento centralizado a largo plazo para consultas y realización de análisis avanzados basados en Python. Está diseñado para la retención rentable de grandes volúmenes de datos de seguridad durante hasta 12 años. Los datos del nivel de análisis se reflejan en el nivel de lago, conservando una sola copia de los datos.
Para obtener más información sobre los niveles de datos y la retención, consulte Administración de niveles de datos y retención en el portal de Microsoft Defender.
Orígenes de datos compatibles
El lago de datos de Microsoft Sentinel funciona con todos los conectores de datos de Sentinel existentes, entre los que se incluyen:
- Todos los orígenes de datos de Microsoft Defender y Microsoft Sentinel
- Microsoft 365
- Microsoft Entra ID
- Microsoft Resource Graph
- Plataformas de detección y respuesta de puntos de conexión (EDR)
- Registros de red y firewall
- Telemetría de la infraestructura y la carga de trabajo en la nube
- Registros de identidad y acceso (Microsoft Entra, Okta, etc.)
- Telemetría de DNS, proxy y correo electrónico
Consulta flexible con el lenguaje de consulta kusto
El lenguaje de consulta Kusto (KQL) para exploración de lago de datos permite escribir y ejecutar consultas en los recursos del lago de datos. Use el editor de consultas para explorar los datos, analizar el lago y crear trabajos que promuevan datos del nivel de lago de datos al nivel de análisis. Las consultas KQL ofrecen las siguientes características clave:
- El editor de consultas KQL: que permite editar y ejecutar consultas KQL con IntelliSense y autocompletar.
- Compatibilidad completa con KQL: use toda la gama de funcionalidades de KQL, incluidas las funciones de aprendizaje automático y el análisis avanzado.
- Creación de trabajos: cree trabajos únicos o programados para transferir datos del lago al nivel de análisis.
Para más información, consulte KQL y el lago de datos de Microsoft Sentinel.
Análisis eficaz mediante cuadernos de Jupyter Notebook
Los cuadernos de Jupyter Notebook en el lago de datos de Microsoft Sentinel ofrecen un entorno eficaz para el análisis de datos y el aprendizaje automático. Use bibliotecas de Python para compilar y ejecutar modelos de aprendizaje automático, realizar análisis avanzados y visualizar los datos. Los cuadernos admiten visualizaciones enriquecidas, lo que le permite obtener información de los datos de seguridad. Programe cuadernos para resumir los datos con regularidad, ejecutar modelos de aprendizaje automático y promover datos del nivel de lago de datos al nivel de análisis.
Para más información, consulte Cuadernos de Jupyter Notebook en el lago de datos de Microsoft Sentinel.
Auditoría de actividad
El lago de datos de Microsoft Sentinel proporciona auditoría que realiza un seguimiento de las actividades en el lago. El registro de auditoría captura el acceso a datos, la administración de trabajos y los eventos de consulta, lo que le permite supervisar e investigar la actividad.
Algunas de las actividades auditadas son:
- Acceso a datos en el lago con consultas KQL
- Ejecución de cuadernos en Data Lake
- Creación, edición, ejecución y eliminación de trabajos
La auditoría está habilitada de forma predeterminada para el lago de datos de Microsoft Sentinel. Las acciones auditadas se muestran en el registro de auditoría.
Para obtener más información sobre las actividades de lago de datos auditadas, consulte Registro de auditoría para el lago de datos de Microsoft Sentinel.
Regiones soportadas
Consulte Regiones compatibles para el lago de datos de Microsoft Sentinel para las regiones admitidas.
Get started
Para empezar a trabajar con El lago de datos de Microsoft Sentinel, siga estos pasos en la guía de incorporación. Para obtener más información sobre el uso del lago de datos de Microsoft Sentinel, consulte los siguientes artículos:
- Notebooks de Jupyter en el lago de datos de Microsoft Sentinel.
- KQL y el lago de datos de Microsoft Sentinel
- Permisos para el lago de datos de Microsoft Sentinel
- Administración de niveles de datos y retención en el Portal de Microsoft Defender
- Administración y supervisión de los costos de Microsoft Sentinel