Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel datasø er en specialbygget, cloudbaseret sikkerhedsdatasø, der transformerer den måde, organisationer administrerer og analyserer sikkerhedsdata på. Den er designet som en sand datasø og indtager, lagrer og analyserer store mængder forskellige sikkerhedsdata i stor skala. Ved at centralisere sikkerhedsdata til en enkelt, åben platform, der kan udvides, giver det dyb synlighed, langsigtet opbevaring og avancerede analyser.
Med datasøen kan du overføre alle dine sikkerhedsdata til Microsoft Sentinel omkostningseffektivt og dermed fjerne behovet for at vælge mellem dækning og omkostninger. Du kan bevare flere data i længere tid, registrere trusler med større kontekst og historisk dybde og reagere hurtigere uden at gå på kompromis med sikkerheden.
Den Microsoft Sentinel datasø administreres fuldt ud, så du behøver ikke at udrulle eller vedligeholde datainfrastrukturen. Den leverer en samlet dataplatform til end-to-end-trusselsanalyser og -svar. Den gemmer en enkelt kopi af sikkerhedsdata på tværs af aktiver, aktivitetslogge og trusselsintelligens i søen og udnytter flere analyseværktøjer, f.eks. KQL- og Jupyter-notesbøger, til omfattende sikkerhedsanalyse.
Traditionelle SIEM-løsninger har problemer med omkostningerne og kompleksiteten ved at gemme og forespørge på langsigtede sikkerhedsdata. Microsoft Sentinel datasø løser disse udfordringer på følgende måder:
- Samle sikkerhedsdata på tværs af Microsoft Defender XDR, tredjepartskilder og -aktiver, aktivitetslogge og trusselsintelligens
- Optimering af omkostninger med niveauinddelt lager, hævning af data efter behov og en enkelt kopi af dataene
- Aktivering af dyb sikkerhedsindsigt med op til 12 års sikkerhedsdata og telemetri, som du kan forespørge på og analysere
- Powering AI og automatisering for at opnå hurtigere registrering og svar.
Med en enkelt kopi af data kan du bruge KQL til at køre forespørgsler og Jupyter-notesbøger med avancerede Python-biblioteker og værktøjer til maskinel indlæring for at foretage en dybere analyse af retsmedicin, forekomstsvar og registrering af uregelmæssigheder.
Architecture
Microsoft Sentinel datasø, der er baseret på Azure skalerbare infrastruktur, muliggør central indtagelse, analyse og handling på tværs af forskellige datakilder. Den Microsoft Sentinel tekniske arkitektur for datasøer omfatter følgende vigtige fordele:
- Åbn parquetdatafiler i formatet for at opnå interoperabilitet og udvidelse
- Enkelt kopi af data for at opnå effektiv og omkostningseffektiv lagring
- Adskillelse af lager og beregning for at opnå større fleksibilitet
- Understøttelse af flere analyseprogrammer til at låse op for indsigt fra dine sikkerhedsdata
- Oprindelig integration med Microsoft Sentinel SIEM og de tilhørende arbejdsprocesser til sikkerhedshandlinger
Lagerniveauer
Microsoft Sentinel er designet med to forskellige lagerniveauer for at optimere omkostningerne og ydeevnen:
- Analyseniveau: Det eksisterende Microsoft Sentinel dataniveau, der understøtter avanceret jagt, besked og administration af hændelser, for at hjælpe dig med proaktivt at identificere og løse problemer på tværs af din infrastruktur og dine programmer. Dette niveau er designet til analyse med høj ydeevne og databehandling i realtid.
- Data lake-niveau: Giver centraliseret langsigtet lager til forespørgsler og Python-baserede avancerede analyser. Den er designet til omkostningseffektiv opbevaring af store mængder sikkerhedsdata i op til 12 år. Dataene på analyseniveauet afspejles til lakeniveauet, så der bevares en enkelt kopi af dataene.
Du kan få flere oplysninger om dataniveauer og -opbevaring under Administrer dataniveauer og opbevaring på Microsoft Defender portal.
Understøttede datakilder
Microsoft Sentinel data lake fungerer sammen med alle eksisterende Sentinel dataconnectors, herunder:
- Alle datakilder Microsoft Defender og Microsoft Sentinel
- Microsoft 365
- Microsoft Entra ID
- Microsoft Resource Graph
- EDR-platforme (Endpoint Detection and Response)
- Firewall- og netværkslogge
- Telemetri for cloudinfrastruktur og arbejdsbelastning
- Identitets- og adgangslogge (Microsoft Entra, Okta osv.)
- DNS-, proxy- og mailtelemetri
Fleksibel forespørgsel med Kusto-forespørgselssprog
Med KQL-forespørgsler (Data Lake Exploration Kusto Query Language) kan du skrive og køre forespørgsler mod data lake-ressourcer. Brug forespørgselseditoren til at udforske data, analysere søen og oprette job, der hæver data fra data lake-niveauet til analyseniveauet. KQL-forespørgsler indeholder følgende vigtige funktioner:
- KQL-forespørgselseditor: Leverer redigering og kørsel af KQL-forespørgsler med IntelliSense og autofuldførelse.
- Fuld understøttelse af KQL: Brug det fulde udvalg af KQL-funktioner, herunder funktioner til maskinel indlæring og avancerede analyser.
- Oprettelse af job: Opret engangsjob eller planlagte job for at hæve data fra søen til analyseniveauet.
Du kan få flere oplysninger under KQL og datasøen Microsoft Sentinel.
Effektiv analyse ved hjælp af Jupyter-notesbøger
Jupyter-notesbøger i Microsoft Sentinel datasøen giver et effektivt miljø til dataanalyse og maskinel indlæring. Brug Python-biblioteker til at bygge og køre modeller til maskinel indlæring, udføre avancerede analyser og visualisere dine data. Notesbøgerne understøtter omfattende visualiseringer, så du kan få indsigt i dine sikkerhedsdata. Planlæg notesbøger for at opsummere data regelmæssigt, køre modeller til maskinel indlæring og hæve data fra niveauet data lake til analyseniveauet.
Du kan få flere oplysninger under Jupyter-notesbøger i Microsoft Sentinel datasø.
Aktivitetsovervågning
Den Microsoft Sentinel datasø leverer overvågning, der sporer aktiviteter i søen. Overvågningsloggen registrerer dataadgang, jobstyring og forespørgselshændelser, så du kan overvåge og undersøge aktiviteter.
Nogle af de reviderede aktiviteter er:
- Adgang til data i en sø med KQL-forespørgsler
- Kørsel af notesbøger på datasøen
- Opret, rediger, kør og slet job
Overvågning er som standard aktiveret for Microsoft Sentinel datasø. Overvågede handlinger vises i overvågningsloggen.
Du kan få flere oplysninger om aktiviteter i overvågede datasøer i Overvågningslog for Microsoft Sentinel datasø.
Understøttede områder
Se Understøttede områder for Microsoft Sentinel datasø for understøttede områder.
Kom i gang
Hvis du vil i gang med Microsoft Sentinel datasø, skal du følge disse trin i onboardingvejledningen. Du kan få flere oplysninger om brug af Microsoft Sentinel datasø i følgende artikler: