你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 数据湖是一个租户范围的存储库,用于从各种源收集、存储和管理大量与安全相关的数据。 它可实现全面、统一的分析,并在整个安全环境中实现可见性。 Microsoft Sentinel 图形 是一种统一的图形功能,Microsoft Sentinel 平台支持跨安全、合规性、标识和整个生态系统提供基于图形的体验。 这些解决方案使用高级分析、机器学习、图形和 AI 来帮助检测威胁、调查和响应事件,并提高整体安全态势。
以下解决方案中提供了Microsoft Sentinel 数据库和图:
Prerequisites
重要
如果你的组织使用客户管理密钥(CMK)进行数据加密,请注意,Microsoft Sentinel 数据湖中存储的数据不完全支持 CMK。 引入到 data Lake 中的任何数据(例如自定义表或转换的数据)都使用Microsoft管理的密钥进行加密。 迁移到 Microsoft Sentinel 数据湖可能无法完全符合您的组织的加密策略或数据保护标准。
要在 Microsoft Defender XDR、数据安全调查和内部风险管理中加入 Microsoft Sentinel 数据湖和图表,必须满足以下先决条件:
- 必须配置 Microsoft Defender (
security.microsoft.com) 和 Microsoft Sentinel。 在 Microsoft Defender 门户使用 Microsoft Sentinel 数据湖和 Microsoft Sentinel 时不需要 Microsoft Defender XDR 许可证。 - 用于为数据湖设置计费的现有 Azure 订阅和资源组。 必须是直接订阅所有者 - 作为管理组级订阅所有者是不够的。 可以使用现有的 Microsoft Sentinel SIEM Azure 订阅和资源组,也可以创建新的订阅。 若要了解有关计费的详细信息,请参阅 计划成本并了解Microsoft Sentinel 定价和计费。
- 连接到 Microsoft Defender 门户的 Microsoft Sentinel 主工作区。 您的数据湖配置在与您的主要 Sentinel 工作区相同的区域中。
- 你必须对主工作区和其他工作区拥有读取权限,以便将它们连接到数据湖。 只有所在区域与主要 Sentinel 工作区区域相同的工作区会附加到数据湖。
- 如果 Microsoft 365 数据与 Data Lake 不在同一区域,则通过载入数据湖,你同意将Microsoft 365 数据引入到数据湖所在的区域中。
Note
在开始使用之前,请检查 Microsoft Data Lake 和 Graph 在您所在区域的可用性。您可以查阅 Microsoft Sentinel 中的地理可用性和数据驻留。
Microsoft Purview 的其他先决条件
对 Microsoft Sentinel 主工作区的参与者访问权限,可授权将 Microsoft 365 活动数据引入主工作区。
安装和配置以下数据连接器,以将数据发送到附加到 Defender 的 Sentinel 工作区:
- Microsoft 365。 必须收集用于生成图表的 SharePoint 记录类型。
- Microsoft Entra ID。 必须收集 Sign-In 日志和用户风险事件。
数据风险图是由通过连接器将 Office 活动和 Entra 登录日志数据导入 Sentinel Data Lake 时生成的。
必需的角色
若要配置计费并允许将资产数据引入到数据湖中,必须为租户成员帐户分配以下角色:
- 用于计费设置的 Azure 订阅所有者或订阅参与者
- Microsoft Entra 全局管理员或安全管理员,以授权从 Microsoft Entra、Microsoft 365 和 Azure 进行数据引入
- 读取所有工作区的访问权限,以便将它们附加到数据湖中。
加入 Sentinel 数据湖和图时发生的变化
加入数据湖和图时,该过程将进行以下更改:
它为所选订阅和资源组预配数据湖。
它将在与主 Sentinel 工作区相同的区域中配置您的数据湖。
它会将所有连接到 Defender 且所有区域与主要 Sentinel 工作区区域相同的工作区,附加到 Microsoft Sentinel 数据湖中。 未连接到 Defender 的工作区不会附加到数据湖。
启用 Microsoft Sentinel 数据湖后,Microsoft Sentinel 分析层中的数据也将自此开始在 Microsoft Sentinel 数据湖层中可用,且无需额外付费。 可以使用现有的 Microsoft Sentinel 工作区连接器将新数据引入到分析和数据湖层,或仅引入数据湖层。
首次启用数据导入或在不同层级之间切换数据导入时,数据出现在表中需要 90 到 120 分钟。 启用数据湖层的数据引入功能后,数据会同时出现在数据湖层和分析层级的表中。
以下 Microsoft 服务的资产数据会自动引入 Sentinel 数据湖系统表。
- Microsoft Entra
- Microsoft 365
- Azure Resource Graph
系统表显示在湖探索体验内的工作区选择用户界面 (UI) 中。
如果 Microsoft 365 数据与 Data Lake 不在同一区域,则通过载入数据湖,你同意将Microsoft 365 数据引入到数据湖所在的区域中。
它会预配图形功能,并使用数据湖中的数据来增强 Defender 中的图形调查和搜寻体验。
可以看到为 Lake 探索、表格管理、数据连接器、设置、成本管理和图形启用了新功能。
如果组织当前使用Microsoft Sentinel 安全信息和事件管理(SIEM),则搜索作业和查询、辅助日志和长期保留(也称为“存档”)等功能的计费和定价将切换到Microsoft Sentinel 数据湖式计费计量,可能会增加成本。
它将辅助日志表集成到 Microsoft Sentinel 数据湖中。 已加入 Microsoft Sentinel 数据湖的 Microsoft Defender 连接工作区的辅助日志表是数据湖不可或缺的一部分,它们可用于 KQL 查询和作业等数据湖体验。 载入后,Microsoft Defender 高级搜寻中不再提供辅助日志表。 相反,你可以通过 Defender 门户中的数据湖浏览 KQL 查询来访问它们。
Note
启用数据湖后,无法从 Microsoft Defender 高级搜寻访问 Microsoft Defender 连接工作区的辅助日志表。
创建带有前缀
msg-resources-的托管标识,后跟一个全局唯一标识符 (GUID)。 Data Lake 功能需要此托管标识。 该标识对加入到数据湖中的订阅具有“Azure 读者”角色。 请勿从此管理的身份中删除必要的权限。 若要在分析层中启用自定义表创建,请将 Log Analytics 参与者 角色分配给相关 Log Analytics 工作区的此标识。 有关详细信息,请参阅 Microsoft Sentinel data lake 中创建 KQL 作业。
载入 Microsoft Sentinel data lake 后,可以在 Defender 门户中使用以下功能:
- 数据湖浏览 KQL 查询
- Microsoft Sentinel 数据湖作业
- 管理数据层和数据保留
- Microsoft Sentinel 成本管理
- 事件调查中的爆炸半径分析
- 高级狩猎中的狩猎图
加入 Data Lake 后,还可以在 Microsoft Purview 解决方案门户中使用以下功能:
- 数据安全调查中的数据风险图
- 内部风险管理中的数据风险图表
本文介绍使用 Microsoft Defender、数据安全调查、内部风险管理和 Microsoft Sentinel 的客户如何加入 Microsoft Sentinel 数据湖。 新Microsoft Sentinel 客户可以在初始加入这些解决方案后遵循此过程。
Microsoft Sentinel 数据湖加入的策略豁免
在载入 Microsoft Sentinel 数据湖期间,现有的 Azure Policy 定义可能会 阻止部署 所需的资源。 若要确保顺利加入而不影响更广泛的策略执行,请为您要加入的资源组配置一个策略豁免。
具体而言,请豁免资源类型 Microsoft.SentinelPlatformServices/sentinelplatformservices。
此目标豁免允许 Sentinel 数据湖的组件正确部署,同时保持与可能已应用的总体 Azure 治理策略的一致性。
如何在载入过程中添加和存储数据
载入期间,会将您的数据湖预配在与主要 Sentinel 工作区相同的 区域。 我们还可能会自动启用 Microsoft Entra、Microsoft 365 和 Azure Resource Graph 资产数据。 如果此数据与 Data Lake 不在同一区域,则通过加入 Data Lake,你同意在数据湖所在的区域中引入和存储此数据,以便可以将这些数据用于Microsoft Sentinel data lake 和图形体验。 资产数据可通过系统表使用,你可以在湖探索体验的工作区选择 UI 中选择这些表。 有关详细信息,请参阅 Microsoft Sentinel 中的地理可用性和数据驻留。
Microsoft Sentinel现有工作区
必须将 Microsoft Sentinel 主工作区连接到 Defender 门户,才能加入数据湖。 您的数据湖位于与您的主要 Sentinel 工作区相同的区域。 可以将主工作区所在的同一区域中的其他工作区连接到 Defender 门户,以便可以将它们与 Data Lake 配合使用。 如果已加入数据湖,则 Microsoft Sentinel 工作区中连接到 Defender 且已启用可用于数据湖的数据。 有关如何将 Microsoft Sentinel 连接到 Defender 门户的详细信息,请参阅 将Microsoft Sentinel 连接到 Microsoft Defender 门户。
从 Microsoft Sentinel 数据湖和图形中退出连接
若要禁用 Microsoft Sentinel data lake 和 graph, 请提交支持请求。
准备好开始了吗?
有关在 Microsoft 解决方案中载入和配置 Microsoft Sentinel data lake 和 graph 的分步指南,请参阅以下文章: