Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O data lake do Microsoft Sentinel é um data lake de segurança nativo da nuvem criado especificamente para esse fim que transforma a forma como as organizações gerenciam e analisam dados de segurança. Projetado como um verdadeiro data lake, ele ingere, armazena e analisa grandes volumes de diversos dados de segurança em escala. Ao centralizar os dados de segurança em uma plataforma única, de formato aberto e extensível, ele fornece visibilidade profunda, retenção de longo prazo e análises avançadas.
O data lake permite que você traga todos os seus dados de segurança para o Microsoft Sentinel de forma econômica, eliminando a necessidade de escolher entre cobertura e custo. Você pode reter mais dados por mais tempo, detetar ameaças com maior contexto e profundidade histórica e responder mais rapidamente sem comprometer a segurança.
O data lake do Microsoft Sentinel é totalmente gerenciado, portanto, você não precisa implantar ou manter a infraestrutura de dados. Ele fornece uma plataforma de dados unificada para análise e resposta a ameaças de ponta a ponta. Ele armazena uma única cópia dos dados de segurança em ativos, registros de atividades e inteligência de ameaças no lago e aproveita várias ferramentas de análise, como os notebooks KQL e Jupyter, para análises de segurança profundas.
As soluções SIEM tradicionais lutam com o custo e a complexidade de armazenar e consultar dados de segurança de longo prazo. O data lake do Microsoft Sentinel resolve esses desafios das seguintes maneiras:
- Unificando dados de segurança no Microsoft Defender XDR, fontes e ativos de terceiros, registros de atividades e inteligência de ameaças
- Otimização de custos com armazenamento hierárquico, promoção de dados sob demanda e uma única cópia dos dados
- Permitindo insights profundos de segurança com até 12 anos de dados de segurança e telemetria que você pode consultar e analisar
- Alimentando IA e automação para deteção e resposta mais rápidas.
Com uma única cópia de dados, use o KQL para executar consultas e notebooks Jupyter com sofisticadas bibliotecas Python e ferramentas de aprendizado de máquina para conduzir análises mais profundas para perícia, resposta de incidência e deteção de anomalias.
Architecture
O data lake do Microsoft Sentinel, criado na infraestrutura escalável do Azure, facilita a ingestão, análise e ação centralizadas em diversas fontes de dados. A arquitetura técnica do data lake do Microsoft Sentinel inclui os seguintes benefícios principais:
- Arquivos de dados Parquet de formato aberto para interoperabilidade e extensibilidade
- Cópia única dos dados para um armazenamento eficiente e económico
- Separação de armazenamento e computação para maior flexibilidade
- Suporte para vários mecanismos de análise para desbloquear informações de seus dados de segurança
- Integração nativa com o Microsoft Sentinel SIEM e seus fluxos de trabalho de operações de segurança
Camadas de armazenamento
O Microsoft Sentinel foi projetado com dois níveis de armazenamento distintos para otimizar o custo e o desempenho:
- Camada de análise: a camada de dados existente do Microsoft Sentinel que oferece suporte à caça, alerta e gerenciamento de incidentes avançados para ajudá-lo a identificar e resolver problemas proativamente em sua infraestrutura e aplicativos. Essa camada foi projetada para análises de alto desempenho e processamento de dados em tempo real.
- Nível de data lake: fornece armazenamento centralizado de longo prazo para consultas e análises avançadas baseadas em Python. Ele foi projetado para retenção econômica de grandes volumes de dados de segurança por até 12 anos. Os dados na camada de análise são espelhados na camada de lago, preservando uma única cópia dos dados.
Para obter mais informações sobre camadas de dados e retenção, consulte Gerenciar camadas de dados e retenção no portal do Microsoft Defender.
Fontes de dados suportadas
O data lake do Microsoft Sentinel funciona com todos os conectores de dados Sentinel existentes, incluindo:
- Todas as fontes de dados do Microsoft Defender e do Microsoft Sentinel
- Microsoft 365
- Microsoft Entra ID
- Gráfico de recursos da Microsoft
- Plataformas de Deteção e Resposta de Pontos Finais (EDR)
- Firewall e logs de rede
- Infraestrutura na nuvem e telemetria da carga de trabalho
- Registos de identidade e acesso (Microsoft Entra, Okta, etc.)
- DNS, proxy e telemetria de e-mail
Consulta flexível com Kusto Query Language
As consultas KQL (Data Lake Query Language) permitem escrever e executar consultas em recursos do data lake. Use o editor de consultas para explorar dados, analisar o lago e criar trabalhos que promovam dados da camada data lake para a camada de análise. As consultas KQL oferecem os seguintes recursos principais:
- Editor de consultas KQL: Fornece edição e execução de consultas KQL com IntelliSense e preenchimento automático.
- Suporte completo para KQL: Use toda a gama de recursos do KQL, incluindo funções de aprendizado de máquina e análises avançadas.
- Criação de emprego: crie trabalhos únicos ou agendados para promover dados do lago para a camada de análise.
Para obter mais informações, consulte KQL e o data lake do Microsoft Sentinel.
Análise poderosa usando notebooks Jupyter
Os notebooks Jupyter no data lake do Microsoft Sentinel oferecem um ambiente poderoso para análise de dados e aprendizado de máquina. Use bibliotecas Python para criar e executar modelos de aprendizado de máquina, realizar análises avançadas e visualizar seus dados. Os blocos de notas suportam visualizações avançadas, permitindo-lhe obter informações a partir dos seus dados de segurança. Agende blocos de anotações para resumir dados regularmente, execute modelos de aprendizado de máquina e promova dados da camada de data lake para a camada de análise.
Para obter mais informações, consulte Jupyter notebooks no data lake do Microsoft Sentinel.
Auditoria de atividades
O data lake do Microsoft Sentinel fornece auditoria que rastreia atividades no lago. O log de auditoria captura o acesso a dados, o gerenciamento de tarefas e eventos de consulta, permitindo que você monitore e investigue a atividade.
Algumas das atividades auditadas são:
- Acesso a dados no lago com consultas KQL
- Executando blocos de anotações no data lake
- Criar, editar, executar e excluir trabalhos
A auditoria está habilitada por padrão para o data lake do Microsoft Sentinel. As ações auditadas são mostradas no log de auditoria.
Para obter mais informações sobre atividades auditadas do data lake, consulte Log de auditoria do data lake do Microsoft Sentinel.
Regiões suportadas
Consulte Regiões suportadas para o data lake do Microsoft Sentinel para regiões suportadas.
Introdução
Para começar a usar o data lake do Microsoft Sentinel, siga estas etapas no guia de integração. Para obter mais informações sobre como usar o data lake do Microsoft Sentinel, consulte os seguintes artigos: