Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O data lake do Microsoft Sentinel é um repositório em nível de locatário para coletar, armazenar e gerenciar grandes volumes de dados relacionados à segurança provenientes de várias fontes. Ele permite uma análise abrangente e unificada e visibilidade em seu cenário de segurança. O Microsoft Sentinel Graph é um recurso de grafo unificado na plataforma Microsoft Sentinel que fornece experiências baseadas em grafo em segurança, conformidade, identidade e todo o ecossistema. Essas soluções usam análise avançada, aprendizado de máquina, grafos e IA para ajudar a detectar ameaças, investigar e responder a incidentes e melhorar a postura geral de segurança.
O data lake e o grafo do Microsoft Sentinel estão disponíveis nas seguintes soluções:
- Microsoft Defender XDR
- Investigações de segurança de dados do Microsoft Purview
- Gerenciamento de Risco Interno do Microsoft Purview
Prerequisites
Importante
Se sua organização usar Customer-Managed Keys (CMK) para criptografia de dados, lembre-se de que o CMK não tem suporte total para dados armazenados no data lake do Microsoft Sentinel. Todos os dados ingeridos no data lake, como tabelas personalizadas ou dados transformados, são criptografados usando chaves gerenciadas pela Microsoft. A integração ao data lake do Microsoft Sentinel pode não estar totalmente alinhada com as políticas de criptografia ou os padrões de proteção de dados da sua organização.
Para integrar-se ao data lake e ao gráfico do Microsoft Sentinel no Microsoft Defender XDR, Data Security Investigations e Insider Risk Management, você deve atender aos seguintes pré-requisitos:
- O Microsoft Defender (
security.microsoft.com) e o Microsoft Sentinel devem ser configurados. Não é necessária uma licença do Microsoft Defender XDR para usar o data lake do Microsoft Sentinel com o Microsoft Sentinel no portal do Microsoft Defender. - Uma assinatura e um grupo de recursos existentes do Azure para configurar a cobrança para o data lake. Você deve ser o proprietário da assinatura direta; não basta ser o proprietário da assinatura no nível do grupo de gerenciamento. Você pode usar sua assinatura e grupo de recursos existentes do Microsoft Sentinel SIEM Azure ou criar um novo. Para saber mais sobre cobrança, consulte Planejar os custos e entender os preços e a cobrança do Microsoft Sentinel.
- Um workspace primário do Microsoft Sentinel conectado ao portal do Microsoft Defender. Seu data lake é provisionado na mesma região que a do workspace principal do Sentinel.
- Você deve ter privilégios de leitura para o workspace primário e aos outros workspaces para que eles possam ser anexados ao data lake. Somente os espaços de trabalho que residem na mesma região que a sua região principal do Sentinel são anexados ao data lake.
- Se os dados do Microsoft 365 não estiverem na mesma região que o data lake, integrando-se ao data lake, você consentirá em ingerir seus dados do Microsoft 365 na região onde reside o data lake.
Note
Antes de integrar, verifique a disponibilidade do Microsoft Data Lake e do Graph em sua região, referindo-se à disponibilidade geográfica e à residência de dados no Microsoft Sentinel.
Outros pré-requisitos para o Microsoft Purview
Acesso de colaborador ao workspace primário do Microsoft Sentinel para autorizar a ingestão de seus dados de atividade do Microsoft 365 para o workspace primário.
Instale e configure os seguintes conectores de dados para enviar dados a um workspace do Sentinel anexado ao Defender:
- Microsoft 365. Você deve coletar tipos de registro do SharePoint para o gráfico que será construído.
- Microsoft Entra ID. Você deve coletar logs de login e eventos de risco do usuário.
O gráfico de risco de dados é compilado a partir de dados ingeridos no lago de dados do Sentinel por meio de conectores para atividades do Office e logs de login do Entra.
Funções necessárias
Para configurar a cobrança e habilitar a ingestão de dados de ativos no data lake, as seguintes funções devem ser atribuídas à conta de membro do locatário:
- Proprietário da Assinatura do Azure ou contribuinte da Assinatura para configuração de cobrança
- Administrador Global do Microsoft Entra ou Administrador de Segurança para autorização de ingestão de dados do Microsoft Entra, Microsoft 365 e Azure
- Acesso de leitura a todos os workspaces para habilitar sua vinculação ao data lake
Alterações que ocorrem ao integrar o data lake e o grafo do Sentinel
Quando você adere ao lago de dados e ao grafo, o processo faz as seguintes alterações:
Ele provisiona seu data lake (repositório de dados) para sua assinatura e grupo de recursos selecionados.
Ele provisiona seu data lake na mesma região que o workspace primário do Sentinel.
Ele conecta todos os workspaces associados ao Defender que estão na mesma região do workspace principal do Sentinel ao data lake do Microsoft Sentinel. Workspaces que não estão conectados ao Microsoft Defender não estão anexados ao data lake.
Depois que o data lake do Microsoft Sentinel estiver habilitado, os dados na camada de análise do Microsoft Sentinel também estarão disponíveis na camada data lake do Microsoft Sentinel desse ponto em diante sem custo adicional. Você pode usar conectores de workspace existentes do Microsoft Sentinel para ingerir novos dados nas camadas do data lake e de análise ou apenas na camada do data lake.
Quando você habilita a ingestão de dados pela primeira vez ou alterna a ingestão entre camadas, leva de 90 a 120 minutos para que os dados apareçam nas tabelas. Depois que a ingestão estiver habilitada para a camada data lake, os dados serão exibidos simultaneamente no data lake e nas tabelas da camada de análise.
Os dados de ativos dos seguintes serviços da Microsoft são ingeridos automaticamente nas tabelas do sistema de Data Lake do Sentinel.
- Microsoft Entra
- Microsoft 365
- Azure Resource Graph
As tabelas do sistema são exibidas na IU de seleção do espaço de trabalho nas experiências de exploração do Lake.
Se os dados do Microsoft 365 não estiverem na mesma região que o data lake, integrando-se ao data lake, você consentirá em ingerir seus dados do Microsoft 365 na região onde reside o data lake.
Ele provisiona seus recursos de grafo e usa os dados em seu data lake para aprimorar as experiências de investigação e busca de grafo no Defender.
Você verá novos recursos habilitados para exploração do Lake, gerenciamento de tabelas, conectores de dados, configurações, gerenciamento de custos e Graph.
Se sua organização atualmente usa o SIEM (Gerenciamento de Eventos e Informações de Segurança) do Microsoft Sentinel, a cobrança e os preços de recursos como trabalhos de pesquisa e consultas, logs auxiliares e retenção de longo prazo (também conhecido como "arquivo") mudam para medidores de cobrança baseados em data lake do Microsoft Sentinel, potencialmente aumentando seus custos.
Ele integra tabelas de log auxiliares ao data lake do Microsoft Sentinel. As tabelas de log auxiliares nos workspaces conectados do Microsoft Defender que são integradas ao data lake do Microsoft Sentinel tornam-se parte integrante do data lake, disponibilizando-as para uso em experiências de data lake, como consultas e Trabalhos KQL. Após a incorporação, as tabelas de log auxiliares não estão mais disponíveis na caça avançada do Microsoft Defender. Você pode acessá-las por meio de consultas KQL de exploração do data lake no portal do Defender.
Note
As tabelas de log auxiliares para workspaces conectados do Microsoft Defender não são acessíveis da busca avançada de ameaças do Microsoft Defender quando o data lake está habilitado.
Ele cria uma identidade gerenciada com o prefixo
msg-resources-seguido por um GUID (identificador global exclusivo). Essa identidade gerenciada é necessária para a funcionalidade do data lake. A identidade tem a função Leitor do Azure nas assinaturas integradas ao data lake. Não exclua ou remova as permissões necessárias dessa identidade gerenciada. Para habilitar a criação de tabela personalizada na camada de análise, atribua a função colaborador do Log Analytics a essa identidade para os workspaces relevantes do Log Analytics. Para obter mais informações, consulte Criar trabalhos KQL no data lake do Microsoft Sentinel.
Depois de estar integrado ao data lake do Microsoft Sentinel, você poderá usar os seguintes recursos no portal do Defender:
- Consultas KQL para exploração de Data Lake
- Trabalhos do Data Lake do Microsoft Sentinel
- Gerenciamento de camadas de dados e retenção
- Gerenciamento de custos do Microsoft Sentinel
- Análise de raio de explosão em investigações de incidentes
- Grafo de caça na busca avançada de ameaças
Você também pode usar os seguintes recursos no portal de soluções do Microsoft Purview depois de ser integrado ao data lake:
- Gráficos de risco de dados em investigações de segurança de dados
- Gráficos de risco de dados no Gerenciamento de Risco interno
Este artigo descreve como os clientes que usam o Microsoft Defender, Investigações de Segurança de Dados, Gerenciamento de Risco Interno e Microsoft Sentinel podem integrar-se ao data lake do Microsoft Sentinel. Novos clientes do Microsoft Sentinel podem seguir este procedimento após a integração inicial a essas soluções.
Isenção de política para integração de data lake do Microsoft Sentinel
Durante a integração do data lake do Microsoft Sentinel, as definições existentes do Azure Policy podem bloquear a implantação de recursos necessários. Para garantir a integração bem-sucedida sem comprometer a imposição de políticas mais ampla, configure uma isenção de política com escopo para o grupo de recursos que você está integrando.
Especificamente, isenta o tipo de recurso: Microsoft.SentinelPlatformServices/sentinelplatformservices.
Essa isenção direcionada permite que os componentes do Data Lake do Sentinel sejam implantados corretamente, mantendo a conformidade com as políticas de Governança do Azure abrangentes que você pode já ter aplicado.
Como os dados são adicionados e armazenados durante a integração
Durante a integração, o data lake é provisionado na mesma região que o workspace primário do Sentinel. Também podemos habilitar automaticamente os dados de ativos do Microsoft Entra, do Microsoft 365 e do Azure Resource Graph. Se esses dados não estiverem na mesma região que o data lake, ao se integrar ao data lake, você consente em ingerir e armazenar esses dados na região onde reside o data lake para que possa usá-los com as funcionalidades de data lake e de grafo do Microsoft Sentinel. Os dados do ativo estão disponíveis por meio de tabelas do sistema, que você pode selecionar na interface de seleção do espaço de trabalho nas experiências de exploração do lago. Para obter mais informações, consulte disponibilidade geográfica e residência de dados no Microsoft Sentinel.
Workspaces existentes do Microsoft Sentinel
Você deve conectar seu espaço de trabalho primário do Microsoft Sentinel ao portal do Microsoft Defender para se integrar ao lago de dados. Seu data lake está localizado na mesma região que o principal workspace do Sentinel. Você pode conectar outros espaços de trabalho na mesma região que o seu espaço de trabalho primário ao portal do Defender, para que você possa utilizá-los com o data lake. Se você se integrou ao data lake, os dados nos workspaces do Microsoft Sentinel, que estão conectados ao Defender e estão habilitados para uso com o data lake. Para obter mais informações sobre como conectar o Microsoft Sentinel ao portal do Defender, consulte Conectar o Microsoft Sentinel ao portal do Microsoft Defender.
Saída do repositório de dados e grafo do Microsoft Sentinel
Para desabilitar o data lake e o grafo do Microsoft Sentinel, envie uma solicitação de suporte.
Pronto para começar?
Para obter diretrizes passo a passo para integrar e configurar o data lake e o grafo do Microsoft Sentinel em soluções da Microsoft, consulte os seguintes artigos:
- Configurar o data lake e o grafo do Microsoft Sentinel no Microsoft Defender
- Configurar o data lake e o grafo do Microsoft Sentinel nas Investigações de Segurança de Dados do Microsoft Purview
- Configurar o data lake e o grafo do Microsoft Sentinel no Gerenciamento de Riscos internos do Microsoft Purview