Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Aktivdata i cybersikkerhed refererer til en organisations fysiske og digitale enheder, f.eks. computere, identiteter, software, cloudtjenester og netværk. Den viser, hvad der findes, så du ved, hvad der skal beskyttes. Microsoft Sentinel datasø tilføjer effektiv værdi ved at gemme disse aktivdata på en skalerbar, omkostningseffektiv måde, der understøtter langsigtet opbevaring, avancerede analyser og AI-drevet trusselsregistrering. Med ensartet synlighed på tværs af systemer og fleksibel dataadministration hjælper Sentinel lake sikkerhedsteams med at forstå deres miljø, spotte usædvanlig aktivitet og reagere på trusler.
Hvordan er dataindtagelse af aktiver aktiveret i Sentinel datasø?
Når du onboarder til Sentinel sø, indtages aktivdata automatisk, hvis du har de nødvendige tilladelser. Du kan få flere oplysninger under Påkrævede tilladelser til aktivkilder.
Hvis du ikke har tilstrækkelige tilladelser, oprettes der aktivtabeller, men der indtages ingen data. Aktivér dataindtagelse af aktiv manuelt på følgende måde:
- Gå til arbejdsområdet Microsoft Sentinel i Azure Portal.
- Gå til siden Dataconnectors .
- Find den relevante datakildeforbindelse for aktivet.
- Vælg connectoren, og følg prompterne for at aktivere indtagelse.
Aktivdata overføres kun til det Microsoft Sentinel datasøniveau. Efter onboarding kan det tage op til 24 timer, før aktivdata ankommer til søen.
Aktivdata opbevares som standard i 30 dage. Opbevaring kan udvides i op til 12 år. Du kan få flere oplysninger om administration af tabelopbevaring i dokumentationen til tabeladministration.
Overvejelser i forbindelse med fakturering
Kunder pådrager sig gebyrer for indtagelse af aktivdata.
Kunder pådrager sig gebyrer for opbevaring af aktivdata.
Snapshots af aktivdata tages én gang hver 24. time.
Da dataindtagelse af aktiver som standard er aktiveret, når du onboarder til Sentinel datasø, er det vigtigt at forstå aktivets grundlæggende rolle Sentinel dataconnectors, der faciliterer dataindtagelse af aktivdata. Disse dataconnectors er ansvarlige for at overføre aktivrelaterede data til Sentinel datasø og er bundtet i deres respektive Sentinel Solution-pakker. Du kan finde og administrere disse løsninger via Indholdshub.
Påkrævede tilladelser til aktivkilder
I følgende tabel beskrives de forskellige aktivdatakilder og deres dataconnectors:
| Datakilde | Tabeller | Tilladelse | Data Connector Solution |
|---|---|---|---|
| Azure Resource Graph (ARG) |
ARGResources ARGResourceContainers ARGAuthorizationResources |
Abonnementsejer | Azure Resource Graph |
| Microsoft Entra ID |
EntraApplications EntraGroupMemberships EntraGroups EntraMembers EntraOrganizations EntraServicePrincipals EntraUsers |
Ingen | Microsoft Entra ID aktiv |
Bemærk!
Visse dataconnectors, herunder, men ikke begrænset til aktivconnectors, bidrager til opbygningen af datarisikografer i Purview. Hvis disse grafer er aktive, afbrydes oprettelsen af de tilknyttede connectorer, når de deaktiveres. Connectorbeskrivelser angiver, om de er involveret i oprettelse af datarisikodiagrammer.
Forudsætninger
Hvis du vil administrere aktivdataconnectors, skal du opfylde følgende forudsætninger:
- Sørg for, at du har den nødvendige adgang og de nødvendige tilladelser til at Microsoft Sentinel, som angivet i kolonnen Tilladelser i den forrige tabel.
- Søg efter den relevante løsning, der indeholder dataconnectoren i Content Hub. Indholdshub kan findes i menuen Microsoft SentinelIndholdsstyring>Indholdshub. Installér løsningen, hvis den ikke allerede er installeret.
Konfigurer og administrer
Få adgang til connectorsiden på en af følgende måder:
Fra den installerede løsning:
- Vælg Administrer
- Vælg connectoren, og åbn derefter siden Åbn forbindelse
Fra galleriet Connector:
- Du kan finde galleriet Connector i menuen Microsoft SentinelConfiguration>Data connectors
Hvis du vil redigere tabelopbevaringsperioden, skal du vælge de tre prikker (...) til højre for tabelnavnet i gitteret til administration af tabellen. Vælg en opbevaringsperiode for op til 12 år. Når aktivdataconnectoren viser statussen Tilsluttet , vises Afbryd forbindelse på knappen til/fra. Dette angiver, at indtagelse er aktiveret. Hvis du vil deaktivere indtagelsen, skal du vælge knappen Afbryd forbindelsen . Når forbindelsen er afbrudt, viser forbindelsesstatussen Afbrudt , og knapteksten skifter til Opret forbindelse.
Brug aktivdata til at forbedre aktivitetsdata
Aktivdata tilføjer værdifuld kontekst og indsigt, der muligvis ikke fremgår af aktivitetslogge alene.
Når du f.eks. undersøger risikable logons i SigninLogs tabellen, kan du forbedre analysen ved at forbinde den med tabellen EntraUsers for at inkludere brugerspecifikke attributter, f.eks. afdeling og ansættelsesdato. Denne ekstra kontekst hjælper sikkerhedsteams med bedre at forstå brugeradfærd og vurdere potentielle trusler mere præcist.
SigninLogs
| where IsRisky == true
| join kind=leftouter (
EntraUsers
| summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate
Udfør KQL-forespørgsler på aktivdata
Hvis du vil udføre KQL-forespørgsler på aktivdata i den Sentinel datasø, skal du sikre, at du forespørger inden for det korrekte arbejdsområdeområde. Følg disse trin:
Gå til menuen Microsoft Sentinelfor udforskning af>datasøer IQL-forespørgsler
Vælg knappen Valgt arbejdsområde .
Sørg for, at arbejdsområdet Systemtabeller er valgt.
Tabeller over aktivdata vises under kategorien Aktiv:
Næste trin
- Se dokumentationen til Tabelstyring for at få oplysninger om indstillinger for dataniveau og indstillinger for opbevaring.
- Se, hvordan aktivdata forbedrer Grafer over Purview-datarisiko.
- Sådan forespørger du Sentinel datasø