Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avec Le lac de données Microsoft Sentinel, vous pouvez stocker et analyser des journaux à volume élevé, à faible fidélité, tels que les données pare-feu ou DNS, les inventaires de ressources et les enregistrements historiques pendant jusqu’à 12 ans. Étant donné que le stockage et le calcul sont découplés, vous pouvez interroger la même copie de données à l’aide de plusieurs outils, sans déplacer ou le dupliquer.
Vous pouvez explorer des données dans le lac de données à l’aide du langage de requête Kusto (KQL) et des notebooks Jupyter, pour prendre en charge un large éventail de scénarios, du repérage des menaces et des enquêtes à l’enrichissement et au machine learning.
Cet article présente les principaux concepts et scénarios d’exploration de data lake, met en évidence les cas d’usage courants et montre comment interagir avec vos données à l’aide d’outils familiers.
Requêtes interactives KQL
Utilisez kusto Query Language (KQL) pour exécuter des requêtes interactives directement sur le lac de données sur plusieurs espaces de travail.
À l’aide de KQL, les analystes peuvent :
- Examinez et répondez à l’aide de données historiques : utilisez des données à long terme dans le lac de données pour recueillir des preuves d’investigation, examiner un incident, détecter des modèles et répondre aux incidents.
- Enrichir les enquêtes avec des journaux volumineux : tirez parti des données bruyantes ou de faible fidélité stockées dans le lac de données pour ajouter du contexte et de la profondeur aux enquêtes de sécurité.
- Mettre en corrélation les données des ressources et des journaux d’activité dans le lac de données : interrogez les inventaires de ressources et les journaux d’identité pour connecter l’activité utilisateur aux ressources et découvrir une attaque plus large.
Utilisez les requêtes KQL sous Microsoft Sentinel>Exploration du lac de données dans le portail Defender pour exécuter des requêtes KQL interactives ponctuelles directement sur des données à long terme. L’exploration du lac de données est disponible une fois le processus d’intégration terminé. Les requêtes KQL sont idéales pour les analystes SOC qui examinent les incidents où les données peuvent ne plus résider dans le niveau Analytique. Les requêtes activent l’analyse légale à l’aide de requêtes familières sans réécriture de code. Pour commencer avec les requêtes KQL, consultez Exploration du lac de données – requêtes KQL.
Tâches KQL
Les travaux KQL consistent en des requêtes KQL asynchrones, soit ponctuelles, soit planifiées, sur les données du lac de données Microsoft Sentinel. Les tâches sont utiles pour les scénarios d’investigation et d’analyse, par exemple :
- Requêtes ponctuelles à long terme pour les enquêtes sur les incidents et la réponse aux incidents (IR)
- Tâches d’agrégation de données qui prennent en charge les flux de travail d’enrichissement à l’aide de journaux de faible fidélité
- Scans de correspondance d'intelligence historique sur les menaces (TI) pour une analyse rétrospective
- Analyses de détection d’anomalies qui identifient des modèles inhabituels sur plusieurs tables
- Transférez les données du lac de données vers la couche analytique pour faciliter l'analyse des incidents ou la corrélation des logs.
Exécutez des tâches KQL ponctuelles sur le lac de données pour promouvoir des données historiques spécifiques du niveau Data Lake vers le niveau Analytique ou créer des tables récapitulatives personnalisées dans le niveau Data Lake. La promotion des données est utile à l’analyse de la cause racine ou la détection de vulnérabilité 0-day lors de l’étude des incidents qui s’étendent au-delà de la fenêtre de niveau d’analyse. Envoyez un travail planifié sur data lake pour automatiser les requêtes récurrentes afin de détecter les anomalies ou de générer des bases de référence à l’aide de données historiques. Les chasseurs de menaces peuvent l’utiliser pour surveiller les modèles inhabituels au fil du temps et alimenter les résultats dans les détections ou les tableaux de bord. Pour plus d’informations, consultez Créer des travaux dans le lac de données Microsoft Sentinel et Gérer des travaux dans le lac de données Microsoft Sentinel.
Scénarios d’exploration
Les scénarios suivants illustrent comment les requêtes KQL dans le lac de données Microsoft Sentinel peuvent être utilisées pour améliorer les opérations de sécurité :
| Scénario | Détails | Exemple : |
|---|---|---|
| Examiner les incidents de sécurité à l’aide de données historiques à long terme | Les équipes de sécurité doivent souvent aller au-delà de la fenêtre de rétention par défaut pour découvrir l’étendue complète d’un incident. | Un analyste SOC de niveau 3 qui examine une attaque par force brute utilise des requêtes KQL sur le lac de données pour interroger les données antérieures à 90 jours. Après avoir identifié les activités suspectes depuis plus d’un an, l’analyste promeut les résultats au niveau analytique pour une analyse plus approfondie et la corrélation des incidents. |
| Détecter les anomalies et créer des bases de référence comportementales au fil du temps | Les ingénieurs de détection s’appuient sur des données historiques pour établir des bases de référence et identifier des modèles susceptibles d’indiquer un comportement malveillant. | Un ingénieur de détection analyse les journaux de connexion sur plusieurs mois pour détecter les pics d’activité. En planifiant un travail KQL dans le lac de données, ils génèrent une base de référence de série chronologique et découvrent un modèle cohérent avec les abus d’informations d’identification. |
| Enrichir les études à l’aide de journaux à faible fidélité et à volume élevé | Certains journaux sont trop bruyants ou volumineux pour le niveau d’analyse, mais ils sont toujours utiles pour l’analyse contextuelle. | Les analystes SOC utilisent KQL pour interroger les journaux de réseau et de pare-feu stockés uniquement dans le lac de données. Ces logs, bien qu'ils ne soient pas dans le niveau analytique, aident à valider les alertes et à fournir des preuves justificatives pendant les enquêtes. |
| Répondre aux menaces émergentes avec la hiérarchisation flexible des données | Lorsque de nouvelles informations sur les menaces apparaissent, les analystes doivent accéder rapidement aux données historiques et agir rapidement. | Un analyste de renseignement sur les menaces réagit à un rapport d’analyse des menaces récemment publié en exécutant les requêtes KQL suggérées dans le lac de données. Lors de la découverte d'une activité pertinente datant de plusieurs mois, le fichier journal requis est promu dans le niveau analytique. Pour activer la détection en temps réel des détections futures, les stratégies de hiérarchisation peuvent être ajustées sur les tables pertinentes pour mettre en miroir les journaux les plus récents dans le niveau analytique. |
| Explorer les données des ressources provenant de sources au-delà des journaux de sécurité traditionnels | Enrichir l’examen à l’aide de l’inventaire des ressources, comme les objets Microsoft Entra ID et les ressources Azure. | Les analystes peuvent utiliser KQL pour interroger des informations sur l’identité et les actifs des ressources, telles que Microsoft Entra ID, les utilisateurs, les applications, les groupes ou les inventaires de ressources Azure. Cela permet de mettre en corrélation les journaux pour un contexte plus large qui complète les données de sécurité existantes. |