Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Med Microsoft Sentinel datasø kan du gemme og analysere logge med høj volumen, lav pålidelighed, f.eks. firewall- eller DNS-data, aktivoversigter og historiske poster i op til 12 år. Da lagring og beregning afkobles, kan du forespørge om den samme kopi af data ved hjælp af flere værktøjer uden at flytte eller kopiere dem.
Du kan udforske data i datasøen ved hjælp af KQL (Kusto Query Language) og Jupyter Notebooks for at understøtte en lang række scenarier, lige fra trusselsjagt og undersøgelser til berigelse og maskinel indlæring.
I denne artikel introduceres kernebegreber og scenarier for udforskning af datasøer, der fremhæves almindelige use cases, og den viser, hvordan du interagerer med dine data ved hjælp af velkendte værktøjer.
Interaktive KQL-forespørgsler
Brug Kusto Query Language (KQL) til at køre interaktive forespørgsler direkte på datasøen over flere arbejdsområder.
Ved hjælp af KQL kan analytikere:
- Undersøg og besvar ved hjælp af historiske data: Brug langsigtede data i datasøen til at indsamle retsmedicinske beviser, undersøge en hændelse, registrere mønstre og reagere på hændelser.
- Enrich-undersøgelser med logge med stor mængde: Udnyt støjende eller pålidelighedsdata, der er gemt i datasøen, for at føje kontekst og dybde til sikkerhedsundersøgelser.
- Korreler aktiv, og logfører data i datasøen: Forespørg om oversigter over aktiver og identitetslogge for at forbinde brugeraktivitet med ressourcer og afdække bredere angreb.
Brug KQL-forespørgsler under Microsoft Sentinel>Datasøudforskning på Defender-portalen til at køre ad hoc interaktive KQL-forespørgsler direkte på langsigtede data. Udforskning af datasøer er tilgængelig, når onboardingprocessen er fuldført. KQL-forespørgsler er ideelle til SOC-analytikere, der undersøger hændelser, hvor data muligvis ikke længere er placeret på analyseniveauet. Forespørgsler muliggør tekniske analyser ved hjælp af velkendte forespørgsler uden at omskrive kode. Hvis du vil i gang med KQL-forespørgsler, skal du se Udforskning af datasø – KQL-forespørgsler.
KQL-job
KQL-job er engangsjob eller planlagte asynkrone KQL-forespørgsler på data i Microsoft Sentinel datasø. Job er f.eks. nyttige til undersøgelses- og analysescenarier.
- Langvarige engangsforespørgsler om efterforskninger af hændelser og svar på hændelser (IR)
- Datasammenlægningsopgaver, der understøtter arbejdsprocesser til forbedring ved hjælp af logfiler med lav pålidelighed
- Ti-matchende scanninger (Historical Threat Intelligence) med henblik på retrospektiv analyse
- Registrering af uregelmæssigheder scanner, der identificerer usædvanlige mønstre på tværs af flere tabeller
- Hæv data fra datasøen til analyseniveauet for at aktivere undersøgelse af hændelser eller logkorrelation.
Kør KQL-engangsjob på datasøen for at hæve bestemte historiske data fra data lake-niveauet til analyseniveauet, eller opret brugerdefinerede oversigtstabeller på data lake-niveauet. Det er nyttigt at fremhæve data til analyse af rodårsager eller nuldagsregistrering, når du undersøger hændelser, der strækker sig over mere end vinduet på analyseniveau. Indsend et planlagt job på datasøen for at automatisere tilbagevendende forespørgsler for at registrere uregelmæssigheder eller oprette oprindelige planer ved hjælp af historiske data. Trusselsjægere kan bruge dette til at overvåge usædvanlige mønstre over tid og overføre resultater til opdagelser eller dashboards. Du kan få flere oplysninger under Opret job i datasøen Microsoft Sentinel og Administrer job i Microsoft Sentinel datasø.
Visualiser data i Microsoft Sentinel datasø ved hjælp af projektmapper
Du kan bruge Microsoft Sentinel projektmapper til at visualisere og overvåge data i den Microsoft Sentinel datasø. Ved at vælge Sentinel datasø som datakilde i en projektmappe kan du køre KQL-forespørgsler direkte på datasøen og gengive resultaterne som interaktive diagrammer og tabeller. Dette giver dig mulighed for at oprette dashboards og rapporter, der udnytter langtidstelemetri med stor mængde, der er gemt i datasøen, hvilket gør den ideel til avanceret trusselsjagt, tendensanalyse og administrationsrapportering. Du kan få flere oplysninger om oprettelse af projektmapper med Sentinel datasø under Visualiser data i Microsoft Sentinel datasø ved hjælp af projektmapper.
Udforskningsscenarier
Følgende scenarier illustrerer, hvordan KQL-forespørgsler i den Microsoft Sentinel datasø kan bruges til at forbedre sikkerhedshandlinger:
| Scenarie | Detaljer | Eksempel |
|---|---|---|
| Undersøg sikkerhedshændelser ved hjælp af langsigtede historiske data | Sikkerhedsteams skal ofte gå ud over standardopbevaringsvinduet for at afdække det fulde omfang af en hændelse. | En SOC-analytiker på niveau 3, der undersøger et brute force-angreb, bruger KQL-forespørgsler mod datasøen til at forespørge om data, der er ældre end 90 dage. Efter at have identificeret mistænkelig aktivitet for mere end et år siden hæver analytikeren resultaterne til analyseniveauet for at få en dybere analyse og hændelseskorrelation. |
| Registrer uregelmæssigheder, og opret grundlæggende funktionsmåder over tid | Registreringsteknikere er afhængige af historiske data for at etablere grundlinjer og identificere mønstre, der kan indikere skadelig adfærd. | En registreringstekniker analyserer logonlogge over flere måneder for at registrere stigninger i aktiviteten. Ved at planlægge et KQL-job i datasøen opretter de en tidsseriebaselinje og afdækker et mønster, der stemmer overens med misbrug af legitimationsoplysninger. |
| Enrich undersøgelser ved hjælp af høj mængde, low-fidelity logge | Nogle logge er for støjende eller omfattende til analyseniveauet, men de er stadig værdifulde til kontekstafhængig analyse. | SOC-analytikere bruger KQL til at forespørge netværks- og firewalllogge, der kun er gemt i datasøen. Disse logge er ikke på analyseniveauet, men hjælper med at validere beskeder og levere understøttende beviser under undersøgelser. |
| Reager på nye trusler med fleksibel dataniveauering | Når der opstår ny trusselsintelligens, skal analytikere hurtigt få adgang til og handle på historiske data. | En trusselsintelligensanalytiker reagerer på en nyligt publiceret rapport med trusselsanalyse ved at køre de foreslåede KQL-forespørgsler i datasøen. Ved registrering af relevant aktivitet fra flere måneder siden hæves den påkrævede log til analyseniveauet. Hvis du vil aktivere registrering i realtid for fremtidige registreringer, kan niveauinddelingspolitikker justeres i de relevante tabeller for at afspejle de nyeste logge i analyseniveauet. |
| Udforsk aktivdata fra kilder ud over traditionelle sikkerhedslogge | Enrich-undersøgelse ved hjælp af aktivlager, f.eks. Microsoft Entra ID objekter og Azure ressourcer. | Analytikere kan bruge KQL til at forespørge om identitets- og ressourceressourceoplysninger, f.eks. Microsoft Entra ID brugere, apps, grupper eller Azure ressourcer, til at korrelere logge for at få en bredere kontekst, der supplerer eksisterende sikkerhedsdata. |