Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Dataforbundet data i Microsoft Sentinel muliggør problemfri forespørgsler om flere eksterne datakilder fra det Microsoft Sentinel data lake-miljø. Ved at oprette datakilder, f.eks. Azure Databricks, Azure Data Lake Storage ad (ADLS) Gen 2 og Microsoft Fabric, kan organisationer forbedre deres sikkerhedsanalyse og driftsindsigt uden at flytte eller duplikere data.
Hvad er dataforbundet?
Dataforbundne data giver dig mulighed for at forespørge eksterne datakilder direkte fra den Microsoft Sentinel datasø ved hjælp af KQL-notesbøger (Kusto Query Language) eller Jupyter-notesbøger ved hjælp af udvidelsen Microsoft Sentinel Visual Studio Code. I stedet for at overføre dataene til Sentinel opretter organisationsnetværket forbindelser til eksterne datalagre og aktiverer:
- Unified Analytics: Forespørg om kilder i organisationsnetværket sammen med oprindelige Microsoft Sentinel tabeller med datasøer.
- Bevar styrings- og overholdelseskontroller: Bevar datasikkerhed og overholdelse af angivne standarder ved at forespørge om data på plads uden at flytte dem.
- Forbedret indsigt: Kombiner sikkerhedsdata med forretningsdata, logge eller andre datasæt, der er gemt i eksterne systemer.
- Fleksibel dataadgang: Få adgang til historiske eller specialiserede datasæt, der supplerer dine sikkerhedshandlinger.
Vigtigt!
Dataforbund er envejs fra den Sentinel datasø til det sammenkædede mål. Du kan forespørge om en kilde i organisationsnetværket fra datasøen, men du kan ikke få adgang til datasøen fra en kilde i organisationsnetværket.
Tilgængelige samlingskilder
Følgende samlingskilder er tilgængelige:
| Kilde | Beskrivelse |
|---|---|
| Azure Databricks | Opret forbindelse til Databricks Unity Catalog-tabeller, og forespørg om data fra Sentinel. |
| Azure Data Lake Storage Gen 2 | Forespørgselsdata, der er gemt i ADLS Gen 2-lagerkonti direkte fra Sentinel datasø. |
| Microsoft Fabric | Opret forbindelse til Microsoft Fabric Lakehouse-tabeller til integreret analyse. |
Vigtige begreber
Forbindelser i organisationsnetværket
En forbindelse i organisationsnetværket er en konfigureret kæde mellem den Sentinel datasø og en ekstern datakilde. Hver forbindelse angiver:
- Destinationsdatakilden (Databricks, ADLS Gen 2 eller Fabric).
- Legitimationsoplysninger til godkendelse, der er gemt sikkert i Azure Key Vault til ADLS og Azure Databricks.
- De specifikke tabeller, der skal sammenkædes.
Sammenkædede tabeller
Sammenkædede tabeller er tabeller, der kommer fra en organisationsnetværksforbindelse. Organisationsnetværkstabeller vises på siden Sentinel data lake Table Management og kan forespørges som oprindelige tabeller. Navne på sammenkædede tabeller følger mønsteret <tableName>_<connectorInstanceName>. Hvis din connectorinstans f.eks. er navngivet ADLS01 , og du sammenkæder med en tabel med navnet widgets, er widgets_ADLS01navnet på den sammenkædede tabel .
Forbindelsesforekomster
Hver konfigureret forbindelse til en ekstern datakilde kaldes en forbindelsesforekomst. Du kan oprette flere forekomster for den samme samlingskildetype, som hver især opretter forbindelse til forskellige eksterne ressourcer.
Forudsætninger
Før du konfigurerer dataforbundet, skal du sikre, at du opfylder følgende krav:
- Sentinel onboarding af datasøer: Din lejer skal være onboardet til den Sentinel datasø. Du kan få flere oplysninger under Onboard to Microsoft Sentinel data lake.
- Offentlig tilgængelighed: Den eksterne kilde skal være offentligt tilgængelig. Private slutpunkter understøttes ikke i øjeblikket.
- Tjenesteprincipal: Der kræves en tjenesteprincipal med de relevante tilladelser i den datakilde, du vil oprette forbindelse til, for Azure Databricks og Azure Data Lake Storage Gen2 kilder.
- Azure Key Vault: En Azure Key Vault til at gemme godkendelseshemmeligheder for tjenesteprincipalen. Du skal konfigurere tilladelser for Microsoft Sentinel administreret identitet for at læse hemmeligheder fra key vault.
Sådan fungerer sammenslutning
- Konfigurer godkendelse: Opret en tjenesteprincipal, og gem legitimationsoplysningerne i Azure Key Vault.
- Opret en forbindelse i organisationsnetværket: Brug siden Dataconnectors i Microsoft Sentinel til at oprette en connectorinstans til den valgte datakilde for dataforbundet.
- Vælg tabeller: Vælg, hvilke tabeller fra den eksterne kilde der skal sammenkædes.
- Data i organisationsnetværket for forespørgsler: Brug data lake-oplevelser, f.eks. KQL-forespørgsler, notesbøger eller MCP-værktøjer, til at få adgang til sammenkædede tabeller sammen med oprindelige Sentinel data.
Almindelige scenarier for dataforbund
Med dataforbundet kan du få adgang til data, der er placeret uden for datasøen. Dette er især nyttigt i følgende scenarier:
Datakilder, der er driftsklar på tværs af flere teams og systemer.
År med historiske data, som du vil udælde naturligt og ikke er omkostningseffektivt for indfødning.
Regionale eller overholdelsesregler, der begrænser kopiering af data.
Data, der ikke ofte tilgås, og som kun er kontekstafhængige i begrænsede scenarier.
Fordele ved dataforbundet
Unified Security Analytics
Kombiner data om sikkerhedshændelser i Sentinel med kontekst fra eksterne kilder, f.eks.:
- Analyseoutput fra Databricks
- Historiske logge, der er gemt i ADLS Gen 2
- Forretningsprogramdata fra Microsoft Fabric
Driftsfleksibilitet
- Få adgang til data på tværs af organisationens grænser
- Integrer data fra forskellige teams eller forretningsenheder
- Understøtter komplekse undersøgelser, der strækker sig over flere datakilder
Begrænsninger
- Datakilder skal være offentligt tilgængelige. Private slutpunkter understøttes ikke.
- Azure Key Vault netværk skal angives for Tillad offentlig adgang fra alle netværk, hvilket er standarden for Key Vault, under konfiguration af ADLS- eller Azure Databricks-forbindelsesforekomster. Når du er færdig med at oprette eller redigere en forbindelse, kan der konfigureres en anden netværksindstilling for de tilknyttede Key Vault.
- Organisationsnetværksforbindelser til Microsoft Fabric understøtter skemaaktiverede lakehouses, hvor arbejdsområder ikke er aktiveret til udgående adgangsbeskyttelse.
- Dataforbundet data er skrivebeskyttet. Du kan ikke skrive data tilbage til sammenkædede kilder.
- Forespørgselsydeevnen afhænger af den eksterne kildes svartid og datamængde.
- Sammenkædede forbindelser til en Fabric-kilde kan maksimalt have 100 tabeller i forbindelsesforekomsten.
- Du kan maksimalt have 100 connectorforekomster. Azure Databricks og ADLS bruger én connectorforekomst pr. forbindelse, der er medlem af organisationsnetværket. Microsoft Fabric bruger én connectorforekomst pr. lakehouse-skema i en forbindelse, der er medlem af et organisationsnetværk.