Microsoft Sentinel Data Lake は、組織がセキュリティ データを管理および分析する方法を変革する、専用のクラウドネイティブ セキュリティ データ レイクです。 真のデータ レイクとして設計され、大量の多様なセキュリティ データを大規模に取り込み、格納、分析します。 セキュリティ データを単一のオープン形式の拡張可能なプラットフォームに一元化することで、詳細な可視性、長期保有、高度な分析を実現します。
Data Lake を使用すると、すべてのセキュリティ データをコスト効率の高い Microsoft Sentinel に取り込むことができます。これにより、カバレッジとコストを選択する必要はありません。 より多くのデータを長く保持し、より大きなコンテキストと履歴の深さで脅威を検出し、セキュリティを損なうことなく迅速に対応できます。
Microsoft Sentinel データ レイクは完全に管理されているため、データ インフラストラクチャをデプロイまたは保守する必要はありません。 エンド ツー エンドの脅威分析と対応のための統合データ プラットフォームが提供されます。 これは、資産、アクティビティ ログ、脅威インテリジェンス全体にわたるセキュリティ データの 1 つのコピーをレイクに格納し、KQL や Jupyter Notebook などの複数の分析ツールを活用して詳細なセキュリティ分析を行います。
従来の SIEM ソリューションでは、長期的なセキュリティ データの格納とクエリのコストと複雑さに苦労しています。 Microsoft Sentinel Data Lake は、次の方法でこれらの課題を解決します。
- Microsoft Defender XDR、サードパーティのソースと資産、アクティビティ ログ、脅威インテリジェンス全体のセキュリティ データを統合する
- 階層化ストレージ、オンデマンド データプロモーション、およびデータの単一コピーによるコストの最適化
- クエリと分析が可能な最大 12 年間のセキュリティ データとテレメトリを使用して、詳細なセキュリティ分析情報を有効にする
- AI と自動化を活用して、検出と応答を高速化します。
データの 1 つのコピーを使用して、KQL を使用して高度な Python ライブラリと機械学習ツールを使用してクエリと Jupyter ノートブックを実行し、フォレンジック、発生率対応、異常検出に関するより詳細な分析を行います。
Architecture
Azure のスケーラブルなインフラストラクチャ上に構築された Microsoft Sentinel Data Lake は、多様なデータ ソース全体で一元化されたインジェスト、分析、アクションを容易にします。 Microsoft Sentinel Data Lake の技術アーキテクチャには、次の主な利点があります。
- 相互運用性と拡張性のために Parquet データ ファイルを開く
- 効率的でコスト効率の高いストレージのためのデータの単一コピー
- ストレージとコンピューティングの分離による柔軟性の向上
- セキュリティ データから分析情報を引き出す複数の分析エンジンのサポート
- Microsoft Sentinel SIEM とそのセキュリティ運用ワークフローとのネイティブ統合
ストレージ層
Microsoft Sentinel は、コストとパフォーマンスを最適化するために、次の 2 つの異なるストレージ層で設計されています。
- 分析レベル: 高度な検出、アラート、インシデント管理をサポートする既存の Microsoft Sentinel データ層。インフラストラクチャとアプリケーション全体の問題を事前に特定して解決するのに役立ちます。 このレベルは、高パフォーマンスの分析とリアルタイムのデータ処理用に設計されています。
- Data Lake レベル: クエリと Python ベースの高度な分析のための一元的な長期ストレージを提供します。 これは、最大 12 年間、大量のセキュリティ データをコスト効率の高い保持のために設計されています。 分析層のデータはレイク層にミラーリングされ、データの単一のコピーが維持されます。
データ層とリテンション期間の詳細については、 Microsoft Defender ポータルでのデータ層と保持の管理に関するページを参照してください。
サポートされているデータ ソース
Microsoft Sentinel Data Lake は、次を含むすべての既存の Sentinel データ コネクタで動作します。
- すべての Microsoft Defender および Microsoft Sentinel データ ソース
- Microsoft 365
- Microsoft Entra ID
- Microsoft Resource Graph
- エンドポイント検出と応答 (EDR) プラットフォーム
- ファイアウォールとネットワーク ログ
- クラウド インフラストラクチャとワークロード テレメトリ
- ID とアクセス ログ (Microsoft Entra、Okta など)
- DNS、プロキシ、電子メール テレメトリ
Kusto クエリ言語を使用した柔軟なクエリ
データ レイク探索 Kusto クエリ言語 (KQL) クエリを使用すると、Data Lake リソースに対するクエリを記述して実行できます。 クエリ エディターを使用して、データの探索、レイクの分析、データレイク層から分析層へのデータの昇格を行うジョブの作成を行います。 KQL クエリには、次の主な機能があります。
- KQL クエリ エディター: IntelliSense とオートコンプリートを使用した KQL クエリの編集と実行を提供します。
- KQL の完全なサポート: 機械学習関数や高度な分析など、KQL のすべての機能を使用します。
- ジョブの作成: 1 回限りの、またはスケジュールされたジョブを作成して、レイクから分析レベルにデータをレベル上げします。
詳細については、 KQL と Microsoft Sentinel データ レイクに関する説明を参照してください。
Jupyter Notebook を使用した強力な分析
Microsoft Sentinel Data Lake の Jupyter ノートブックは、データ分析と機械学習のための強力な環境を提供します。 Python ライブラリを使用して、機械学習モデルの構築と実行、高度な分析の実施、データの視覚化を行います。 ノートブックは豊富な視覚化をサポートしているため、セキュリティ データから分析情報を得ることができます。 データを定期的に集計し、機械学習モデルを実行し、データ レイク層から分析層にデータを昇格するようにノートブックをスケジュールします。
詳細については、 Microsoft Sentinel データ レイクの Jupyter Notebook を参照してください。
アクティビティ監査
Microsoft Sentinel データ レイクは、レイク内のアクティビティを追跡する監査を提供します。 監査ログは、データ アクセス、ジョブ管理、クエリ イベントをキャプチャし、アクティビティを監視および調査できるようにします。
監査されるアクティビティの一部は次のとおりです。
- KQL クエリを使用して Lake 内のデータにアクセスする
- Data Lake でのノートブックの実行
- ジョブの作成、編集、実行、および削除
Microsoft Sentinel データ レイクでは、監査が既定で有効になっています。 監査対象のアクションが監査ログに表示されます。
監査対象の Data Lake アクティビティの詳細については、「 Microsoft Sentinel Data Lake の監査ログ」を参照してください。
サポートされているリージョン
サポートされているリージョンについては、「Microsoft Sentinel Data Lake でサポートされているリージョン」を参照してください。
概要
Microsoft Sentinel Data Lake の使用を開始するには、 オンボード ガイドの次の手順に従います。 Microsoft Sentinel データ レイクの使用方法の詳細については、次の記事を参照してください。