Co to jest jezioro danych Microsoft Sentinel?

Microsoft Sentinel to specjalnie utworzony, natywny dla chmury zbiornik danych bezpieczeństwa, który przekształca sposób, w jaki organizacje zarządzają i analizują dane bezpieczeństwa. Zaprojektowana jako prawdziwa usługa Data Lake umożliwia pozyskiwanie, przechowywanie i analizowanie dużych ilości różnorodnych danych zabezpieczeń na dużą skalę. Dzięki scentralizowaniu danych zabezpieczeń w jednym, otwartym formacie, rozszerzalnej platformie zapewnia głęboką widoczność, długoterminowe przechowywanie i zaawansowaną analizę.

Usługa Data Lake umożliwia efektywne przenoszenie wszystkich danych zabezpieczeń do usługi Microsoft Sentinel, co pozwala usunąć konieczność wyboru między pokryciem a kosztami. Możesz dłużej przechowywać więcej danych, wykrywać zagrożenia z większym kontekstem i głębią historyczną oraz reagować szybciej bez naruszania zabezpieczeń.

Usługa Data Lake usługi Microsoft Sentinel jest w pełni zarządzana, więc nie trzeba wdrażać ani obsługiwać infrastruktury danych. Zapewnia ujednoliconą platformę danych na potrzeby kompleksowej analizy zagrożeń i reagowania na nie. Przechowuje pojedynczą kopię danych zabezpieczeń między elementami zawartości, dziennikami aktywności i analizą zagrożeń w usłudze Lake oraz korzysta z wielu narzędzi analitycznych, takich jak KQL i Notesy Jupyter na potrzeby szczegółowej analizy zabezpieczeń.

Tradycyjne rozwiązania SIEM zmagają się z kosztami i złożonością przechowywania i wykonywania zapytań dotyczących długoterminowych danych zabezpieczeń. Usługa Data Lake usługi Microsoft Sentinel rozwiązuje te problemy w następujący sposób:

• Ujednolicenie danych zabezpieczeń między usługą Microsoft Defender XDR, źródłami i elementami zawartości innych firm, dziennikami aktywności i analizą zagrożeń
• Optymalizowanie kosztów przy użyciu magazynu warstwowego, podwyższania poziomu danych na żądanie i pojedynczej kopii danych
• Włączanie szczegółowych informacji o zabezpieczeniach z maksymalnie 12 lat danych zabezpieczeń i danych telemetrycznych, które można wykonywać zapytania i analizować
• Włączanie sztucznej inteligencji i automatyzacji w celu szybszego wykrywania i reagowania.

Korzystając z pojedynczej kopii danych, użyj języka KQL do uruchamiania zapytań i notesów Jupyter z zaawansowanymi bibliotekami języka Python i narzędziami uczenia maszynowego w celu przeprowadzenia dokładniejszej analizy śledczej, odpowiedzi na częstość występowania i wykrywania anomalii.

Architecture

Jezioro danych Microsoft Sentinel, zbudowane na skalowalnej infrastrukturze Azure, umożliwia scentralizowane pozyskiwanie, analizę i podejmowanie działań w różnych źródłach danych. Architektura techniczna usługi Data Lake usługi Microsoft Sentinel obejmuje następujące kluczowe korzyści:

• Otwieranie plików danych Parquet w formacie na potrzeby współdziałania i rozszerzalności
• Pojedyncza kopia danych do wydajnego i ekonomicznego magazynu
• Rozdzielenie magazynu i zasobów obliczeniowych w celu zwiększenia elastyczności
• Obsługa wielu aparatów analitycznych w celu odblokowania szczegółowych informacji z danych zabezpieczeń
• Natywna integracja z rozwiązaniem SIEM usługi Microsoft Sentinel i przepływami pracy operacji zabezpieczeń

Warstwy magazynowania

Usługa Microsoft Sentinel została zaprojektowana z dwiema różnymi warstwami magazynowania w celu optymalizacji kosztów i wydajności:

• Warstwa analizy: istniejąca warstwa danych usługi Microsoft Sentinel obsługująca zaawansowane wyszukiwanie zagrożeń, alerty i zarządzanie zdarzeniami, które pomaga aktywnie identyfikować i rozwiązywać problemy w infrastrukturze i aplikacjach. Ta warstwa jest przeznaczona do analizy o wysokiej wydajności i przetwarzania danych w czasie rzeczywistym.
• Warstwa typu data lake: zapewnia scentralizowany magazyn długoterminowy na potrzeby wykonywania zapytań i zaawansowanych analiz opartych na języku Python. Jest ona przeznaczona do ekonomicznego przechowywania dużych ilości danych zabezpieczeń przez maksymalnie 12 lat. Dane w warstwie analizy są dublowane w warstwie typu lake, zachowując pojedynczą kopię danych.

Aby uzyskać więcej informacji na temat warstw danych i przechowywania, zobacz Zarządzanie warstwami danych i przechowywaniem w portalu usługi Microsoft Defender.

Obsługiwane źródła danych

Usługa Data Lake usługi Microsoft Sentinel współpracuje ze wszystkimi istniejącymi łącznikami danych usługi Sentinel, w tym:

• Wszystkie źródła danych usług Microsoft Defender i Microsoft Sentinel
• Microsoft 365
• Microsoft Entra ID
• Microsoft Resource Graph
• Platformy wykrywania i reagowania na punkty końcowe (EDR)
• Dzienniki zapory ogniowej i sieciowe
• Telemetria infrastruktury chmurowej i obciążeń roboczych
• Dzienniki tożsamości i dostępu (Microsoft Entra, Okta, itd.)
• Telemetria DNS, serwer proxy i poczta e-mail

Elastyczne wykonywanie zapytań za pomocą języka zapytań Kusto

Zapytania języka Kusto Query Language (KQL) eksploracji usługi Data Lake umożliwiają pisanie i uruchamianie zapytań względem zasobów usługi Data Lake. Użyj edytora zapytań, aby eksplorować dane, analizować jezioro i tworzyć zadania, które promują dane z warstwy data lake do warstwy analizy. Zapytania KQL oferują następujące kluczowe funkcje:

• Edytor zapytań KQL: udostępnia edytowanie i uruchamianie zapytań KQL za pomocą funkcji IntelliSense i autouzupełniania.
• Pełna obsługa języka KQL: korzystanie z pełnego zakresu funkcji KQL, w tym funkcji uczenia maszynowego i zaawansowanych analiz.
• Tworzenie zadania: tworzenie jednorazowych lub zaplanowanych zadań w celu podwyższenia poziomu danych z magazynu typu lake do warstwy analizy.

Aby uzyskać więcej informacji, zobacz KQL i jezioro danych Microsoft Sentinel.

Zaawansowana analiza przy użyciu notesów Jupyter

Notesy Jupyter w usłudze Microsoft Sentinel data lake oferują zaawansowane środowisko do analizy danych i uczenia maszynowego. Używanie bibliotek języka Python do tworzenia i uruchamiania modeli uczenia maszynowego, przeprowadzania zaawansowanych analiz i wizualizowania danych. Notatniki obsługują zaawansowane wizualizacje, umożliwiając uzyskiwanie wglądu w dane zabezpieczeń. Zaplanuj regularne podsumowanie danych, uruchamianie modeli uczenia maszynowego i podwyższanie poziomu danych z warstwy data lake do warstwy analizy.

Aby uzyskać więcej informacji, zobacz Notesy Jupyter w usłudze Microsoft Sentinel data lake.

Inspekcja działań

Usługa Data Lake usługi Microsoft Sentinel zapewnia inspekcję, która śledzi działania w jeziorze. Dziennik inspekcji przechwytuje dostęp do danych, zarządzanie zadaniami i zdarzenia zapytań, umożliwiając monitorowanie i badanie aktywności.

Niektóre z skontrolowanych działań to:

• Uzyskiwanie dostępu do danych w usłudze Lake za pomocą zapytań KQL
• Uruchamianie notesów w usłudze Data Lake
• Tworzenie, edytowanie, uruchamianie i usuwanie zadań

Inspekcja jest domyślnie włączona dla usługi Data Lake usługi Microsoft Sentinel. Akcje inspekcji są wyświetlane w dzienniku inspekcji.

Aby uzyskać więcej informacji na temat inspekcji działań usługi Data Lake, zobacz Dziennik inspekcji dla usługi Data Lake usługi Microsoft Sentinel.

Obsługiwane regiony

Zobacz Regiony obsługiwane dla usługi Data Lake usługi Microsoft Sentinel w obsługiwanych regionach.

Wprowadzenie

Aby rozpocząć pracę z Microsoft Sentinel Data Lake, wykonaj następujące kroki w przewodniku wdrożeniowym. Aby uzyskać więcej informacji na temat korzystania z usługi Data Lake usługi Microsoft Sentinel, zobacz następujące artykuły:

• Notesy Jupyter w usłudze Microsoft Sentinel data lake.
• KQL i data lake Microsoft Sentinel
• Uprawnienia do jeziora danych w Microsoft Sentinel
• Zarządzanie warstwami danych i przechowywaniem w witrynie Microsoft Defender Portal
• Zarządzanie kosztami usługi Microsoft Sentinel i monitorowanie ich