Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Data Lake Microsoft Sentinel to repozytorium obejmujące całą dzierżawę, służące do zbierania, przechowywania i zarządzania dużymi ilościami danych związanych z zabezpieczeniami z różnych źródeł. Umożliwia ona kompleksową, ujednoliconą analizę i widoczność w całym krajobrazie zabezpieczeń. Graf Microsoft Sentinel to ujednolicona funkcjonalność grafowa w ramach platformy Microsoft Sentinel, zapewniająca środowiska oparte na grafach w obszarze bezpieczeństwa, zgodności, tożsamości oraz całego ekosystemu. Te rozwiązania korzystają z zaawansowanej analizy, uczenia maszynowego, grafów i sztucznej inteligencji, aby pomóc wykrywać zagrożenia, badać zdarzenia i reagować na nie oraz poprawiać ogólny stan zabezpieczeń.
Usługi Microsoft Sentinel, takie jak Data Lake i graf, są dostępne w następujących rozwiązaniach:
- Microsoft Defender XDR
- Badania zabezpieczeń danych usługi Microsoft Purview
- Zarządzanie ryzykiem wewnętrznym usługi Microsoft Purview
Prerequisites
Ważne
Jeśli organizacja używa kluczy Customer-Managed (CMK) do szyfrowania danych, pamiętaj, że klucz cmK nie jest w pełni obsługiwany w przypadku danych przechowywanych w usłudze Data Lake usługi Microsoft Sentinel. Wszystkie dane pozyskane w usłudze Data Lake, takie jak tabele niestandardowe lub przekształcone dane, są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Dołączanie do usługi Data Lake usługi Microsoft Sentinel może nie być w pełni zgodne z zasadami szyfrowania organizacji lub standardami ochrony danych.
Aby dołączyć do jeziora danych i grafu Microsoft Sentinel w ramach Microsoft Defender XDR, dochodzeń dotyczących zabezpieczeń danych i zarządzania ryzykiem wewnętrznym, musisz spełnić następujące wymagania wstępne:
- Należy skonfigurować usługę Microsoft Defender (
security.microsoft.com) i usługę Microsoft Sentinel. Licencja Microsoft Defender XDR nie jest wymagana do korzystania z jeziora danych Microsoft Sentinel w portalu Microsoft Defender. - Istniejąca subskrypcja platformy Azure i grupa zasobów do skonfigurowania rozliczeń dla usługi Data Lake. Musisz być właścicielem subskrypcji bezpośredniej — bycie właścicielem subskrypcji na poziomie grupy zarządzania nie jest wystarczające. Możesz użyć istniejącej subskrypcji i grupy zasobów platformy Azure rozwiązania Microsoft Sentinel SIEM lub utworzyć nową. Aby dowiedzieć się więcej na temat rozliczeń, zobacz Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel.
- Podstawowy obszar roboczy usługi Microsoft Sentinel połączony z portalem usługi Microsoft Defender. Usługa Data Lake jest aprowizowana w tym samym regionie co podstawowy region obszaru roboczego usługi Sentinel.
- Musisz mieć uprawnienia do odczytu do podstawowych i innych obszarów roboczych, aby można je było dołączyć do usługi Data Lake. Do usługi Data Lake są dołączone tylko obszary robocze znajdujące się w tym samym regionie co podstawowy region obszaru roboczego usługi Sentinel.
- Jeśli dane Microsoft 365 nie znajdują się w tym samym regionie, co Data Lake, dołączając do Data Lake, wyrażasz zgodę na importowanie danych Microsoft 365 do regionu, w którym znajduje się twój Data Lake.
Note
Przed rozpoczęciem procesu wdrażania sprawdź dostępność usług Microsoft Data Lake i Graph w Twoim regionie, odnosząc się do dostępności geograficznej i miejsca przechowywania danych w usłudze Microsoft Sentinel.
Inne wymagania wstępne dotyczące usługi Microsoft Purview
Dostęp z uprawnieniami współtwórcy do głównego obszaru roboczego usługi Microsoft Sentinel w celu autoryzacji integracji danych aktywności z Microsoft 365 z głównym obszarem roboczym.
Zainstaluj i skonfiguruj następujące łączniki danych, aby wysyłać dane do obszaru roboczego usługi Sentinel dołączonego do usługi Defender:
- Microsoft 365. Aby utworzyć wykres, musisz zebrać typy rekordów programu SharePoint.
- Microsoft Entra ID. Należy zebrać dzienniki logowania i zdarzenia ryzyka użytkownika.
Wykres ryzyka danych jest tworzony na podstawie danych przesłanych do jeziora danych Sentinel za pomocą łączników dotyczących aktywności w pakiecie Office i dzienników logowania Entra.
Role wymagane
Aby skonfigurować rozliczenia i włączyć pozyskiwanie danych zasobów w usłudze Data Lake, należy przypisać następujące role do konta członka dzierżawy:
- Właściciel subskrypcji platformy Azure lub współautor subskrypcji na potrzeby konfiguracji rozliczeń
- Administrator globalny firmy Microsoft Entra lub administrator zabezpieczeń na potrzeby autoryzacji pozyskiwania danych z firmy Microsoft Entra, Platformy Microsoft 365 i platformy Azure
- Odczyt dostępu do wszystkich obszarów roboczych w celu włączenia ich załącznika do usługi Data Lake
Zmiany występujące podczas wdrażania do Sentinel Data Lake oraz grafu
Podczas onboardingu do data lake i grafu proces wprowadza następujące zmiany:
Konfiguruje usługę data lake dla wybranej subskrypcji i grupy zasobów.
Konfiguruje twój Data Lake w tym samym regionie, w którym znajduje się twój podstawowy obszar roboczy Sentinel.
Dołącza wszystkie obszary robocze połączone z usługą Defender, które znajdują się w tym samym regionie co podstawowy region obszaru roboczego usługi Sentinel, do usługi Data Lake usługi Microsoft Sentinel. Obszary robocze, które nie są połączone z usługą Defender, nie są dołączone do usługi Data Lake.
Po włączeniu usługi Data Lake usługi Microsoft Sentinel dane w warstwie analizy usługi Microsoft Sentinel są również dostępne w warstwie data lake usługi Microsoft Sentinel od tego momentu bez dodatkowych opłat. Istniejące łączniki obszaru roboczego Microsoft Sentinel pozwalają na pozyskiwanie nowych danych zarówno do warstwy analitycznej, jak i do warstwy data lake, lub tylko do warstwy data lake.
Włączenie pozyskiwania danych po raz pierwszy lub przełączenie pozyskiwania danych między warstwami trwa od 90 do 120 minut, aby dane pojawiały się w tabelach. Po włączeniu pozyskiwania dla warstwy data lake dane są wyświetlane jednocześnie w usłudze Data Lake i w tabelach warstw analizy.
Dane zasobów dla następujących usług firmy Microsoft są pozyskiwane automatycznie do tabel usługi Data Lake System usługi Sentinel.
- Microsoft Entra
- Microsoft 365
- Azure Resource Graph
Tabele systemowe są wyświetlane w interfejsie użytkownika wyboru obszaru roboczego w środowiskach eksploracji usługi Lake.
Jeśli dane Microsoft 365 nie znajdują się w tym samym regionie, co Data Lake, dołączając do Data Lake, wyrażasz zgodę na importowanie danych Microsoft 365 do regionu, w którym znajduje się twój Data Lake.
Aprowizuje funkcje grafowe i używa danych w Data Lake, aby zoptymalizować działania badawcze i monitorowanie grafów w Defenderze.
Nowe funkcje umożliwiają eksplorację obszaru Lake, zarządzanie tabelami, zarządzanie łącznikami danych, ustawienia, zarządzanie kosztami i grafy.
Jeśli Twoja organizacja korzysta obecnie z usługi Microsoft Sentinel Security Information and Event Management (SIEM), rozliczenia i ceny funkcji, takich jak zadania wyszukiwania i zapytania, dzienniki pomocnicze i długoterminowe przechowywanie (nazywane również "archiwum"), przełączają się do mierników rozliczeniowych opartych na usłudze Microsoft Sentinel, co potencjalnie zwiększa koszty.
Integruje tabele dzienników pomocniczych do jeziora danych Microsoft Sentinel. Pomocnicze tabele dzienników w połączonych obszarach roboczych Microsoft Defender, które są włączane do data lake Microsoft Sentinel, stają się integralną częścią tego data lake, dzięki czemu są one dostępne do użycia w środowiskach takich jak zapytania KQL i zadania. Po zakończeniu procesu onboardingu, pomocnicze tabele dzienników nie są już dostępne w Microsoft Defender Advanced Hunting. Zamiast tego możesz uzyskać do nich dostęp za pośrednictwem zapytań KQL eksploracji magazynu danych w portalu usługi Defender.
Note
Tabele dzienników pomocniczych dla połączonych obszarów roboczych usługi Microsoft Defender nie są dostępne z poziomu zaawansowanego wyszukiwania zagrożeń w usłudze Microsoft Defender po włączeniu usługi Data Lake.
Tworzy tożsamość zarządzaną z prefiksem
msg-resources-, po którym następuje unikatowy identyfikator globalny (GUID). Ta tożsamość zarządzana jest wymagana w przypadku funkcji usługi Data Lake. Tożsamość ma rolę Czytelnik Azure dla subskrypcji dołączonych do Data Lake. Nie usuwaj wymaganych uprawnień z tej zarządzanej tożsamości. Aby włączyć tworzenie tabel niestandardowych w warstwie analizy, przypisz rolę Współautor usługi Log Analytics do tej tożsamości dla odpowiednich obszarów roboczych usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Create KQL jobs in the Microsoft Sentinel data lake (Tworzenie zadań KQL w usłudze Data Lake usługi Microsoft Sentinel).
Po dołączeniu do usługi Microsoft Sentinel data lake możesz użyć następujących funkcji w portalu usługi Defender:
- Zapytania KQL eksploracji usługi Data Lake
- Zadania Data Lake Microsoft Sentinel
- Zarządzanie warstwami danych i przechowywaniem
- Zarządzanie kosztami usługi Microsoft Sentinel
- Analiza promieni wybuchu w badaniach incydentów
- Wykres wyszukiwania zagrożeń w zaawansowanym wyszukiwaniu zagrożeń
Po dołączeniu do usługi Data Lake możesz również użyć następujących funkcji w portalu rozwiązań Usługi Microsoft Purview:
- Wykresy ryzyka danych w badaniach zabezpieczeń danych
- Wykresy ryzyka danych w rozwiązaniu Insider Risk Management
W tym artykule opisano, jak klienci korzystający z Microsoft Defender, analiz zabezpieczeń danych, zarządzania ryzykiem wewnętrznym oraz Microsoft Sentinel mogą dołączać do data lake Microsoft Sentinel. Nowi klienci usługi Microsoft Sentinel mogą wykonać tę procedurę po ich początkowym dołączeniu do tych rozwiązań.
Wykluczenie z zasad dla dołączania usługi Data Lake usługi Microsoft Sentinel
Podczas dołączania usługi Microsoft Sentinel do jeziora danych istniejące definicje Azure Policy mogą blokować wdrażanie wymaganych zasobów. Aby zapewnić pomyślne dołączanie bez naruszania szerszego wymuszania zasad, skonfiguruj wykluczenie z zasad w zakresie grupy zasobów, do której dołączasz.
W szczególności wyklucz typ zasobu: Microsoft.SentinelPlatformServices/sentinelplatformservices.
To docelowe wykluczenie umożliwia prawidłowe wdrażanie składników usługi Data Lake usługi Sentinel przy zachowaniu zgodności z nadrzędnymi zasadami ładu platformy Azure, które mogły już zostać zastosowane.
Jak dane są dodawane i przechowywane podczas wdrażania
Podczas uruchomienia, Data Lake jest aprowizowany w tej samej lokalizacji co podstawowy obszar roboczy usługi Sentinel. Możemy również automatycznie włączyć dane zasobów Microsoft Entra, Microsoft 365 i Azure Resource Graph. Jeśli te dane nie znajdują się w tym samym regionie co usługa Data Lake, dołączając je do usługi Data Lake, wyrażasz zgodę na pozyskiwanie i przechowywanie tych danych w regionie, w którym znajduje się twój system Data Lake, aby móc używać ich z danymi w Microsoft Sentinel i środowiskach data lake oraz grafowych. Dane zasobów są dostępne za pośrednictwem tabel systemowych, które można wybrać w interfejsie użytkownika wyboru obszaru roboczego w środowiskach eksploracji usługi Lake. Aby uzyskać więcej informacji, zobacz Dostępność geograficzna i miejsce przechowywania danych w usłudze Microsoft Sentinel.
Istniejące obszary robocze usługi Microsoft Sentinel
Musisz połączyć podstawowy obszar roboczy usługi Microsoft Sentinel z portalem usługi Defender, aby dołączyć go do usługi Data Lake. Usługa Data Lake znajduje się w tym samym regionie co podstawowy obszar roboczy usługi Sentinel. Możesz połączyć inne obszary robocze w tym samym regionie co podstawowy obszar roboczy z portalem usługi Defender, aby można było ich używać z usługą Data Lake. W przypadku dołączenia do usługi Data Lake dane w obszarach roboczych usługi Microsoft Sentinel połączonych z usługą Defender i włączone do użycia z usługą Data Lake. Aby uzyskać więcej informacji na temat łączenia usługi Microsoft Sentinel z portalem usługi Defender, zobacz Łączenie usługi Microsoft Sentinel z portalem usługi Microsoft Defender.
Nie można wybrać obszarów roboczych do dołączenia do usługi Data Lake. Wszystkie obszary robocze połączone z usługą Defender w tym samym regionie co podstawowy obszar roboczy usługi Sentinel są dołączane automatycznie. Nie można samodzielnie odciążyć określonych obszarów roboczych z usługi Data Lake. Jeśli chcesz odłączyć obszar roboczy, prześlij wniosek o pomoc techniczną.
Odłączanie od usługi Data Lake i grafu usługi Microsoft Sentinel
Aby wyłączyć usługę Data Lake i graf usługi Microsoft Sentinel, prześlij wniosek o pomoc techniczną.
Chcesz rozpocząć?
Aby uzyskać szczegółowe wskazówki dotyczące dołączania i konfigurowania usługi Data Lake i grafu usługi Microsoft Sentinel w rozwiązaniach firmy Microsoft, zobacz następujące artykuły:
- Konfigurowanie usługi Microsoft Sentinel data lake i grafu w usłudze Microsoft Defender
- Konfigurowanie usługi Microsoft Sentinel data lake i grafu w usłudze Microsoft Purview Data Security Investigations
- Skonfiguruj jezioro danych Microsoft Sentinel oraz graf w Microsoft Purview Insider Risk Management