Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Datenverbund in Microsoft Sentinel ermöglicht die nahtlose Abfrage mehrerer externer Datenquellen aus der Microsoft Sentinel Data Lake-Umgebung. Durch den Verbund von Datenquellen wie Azure Databricks, Azure Data Lake Storage Gen 2 (ADLS) und Microsoft Fabric können Organisationen ihre Sicherheitsanalysen und betrieblichen Erkenntnisse verbessern, ohne Daten zu verschieben oder zu duplizieren.
Was ist ein Datenverbund?
Mit dem Datenverbund können Sie externe Datenquellen direkt aus dem Microsoft Sentinel Data Lake abfragen, indem Sie Kusto-Abfragesprache (KQL) oder Jupyter Notebooks mit der Microsoft Sentinel Visual Studio Code-Erweiterung verwenden. Anstatt die Daten in Sentinel zu erfassen, erstellt der Verbund Verbindungen mit externen Datenspeichern und ermöglicht Folgendes:
- Unified Analytics: Abfragen von Verbundquellen zusammen mit nativen Microsoft Sentinel Data Lake-Tabellen.
- Beibehalten von Governance- und Compliancekontrollen: Sorgen Sie für Datensicherheit und Compliance, indem Sie Daten an Ort und Stelle abfragen, ohne sie zu verschieben.
- Erweiterte Erkenntnisse: Kombinieren Sie Sicherheitsdaten mit Geschäftsdaten, Protokollen oder anderen Datasets, die in externen Systemen gespeichert sind.
- Flexibler Datenzugriff: Greifen Sie auf historische oder spezialisierte Datasets zu, die Ihre Sicherheitsvorgänge ergänzen.
Wichtig
Der Datenverbund ist eindirektional vom Sentinel Data Lake bis zum Verbundziel. Sie können eine Verbundquelle aus dem Data Lake abfragen, aber sie können nicht über eine Verbundquelle auf den Data Lake zugreifen.
Verfügbare Verbundquellen
Die folgenden Verbundquellen sind verfügbar:
| Quelle | Beschreibung |
|---|---|
| Azure Databricks | Stellen Sie eine Verbindung mit Databricks Unity Catalog-Tabellen her, und fragen Sie Daten aus Sentinel ab. |
| Azure Data Lake Storage Gen 2 | Abfragen von Daten, die in ADLS Gen 2-Speicherkonten gespeichert sind, direkt aus dem Sentinel Data Lake. |
| Microsoft Fabric | Stellen Sie für integrierte Analysen eine Verbindung mit Microsoft Fabric Lakehouse-Tabellen her. |
Zentrale Konzepte
Verbundverbindungen
Eine Verbundverbindung ist eine konfigurierte Verbindung zwischen dem Sentinel Data Lake und einer externen Datenquelle. Jede Verbindung gibt Folgendes an:
- Die Zieldatenquelle (Databricks, ADLS Gen 2 oder Fabric).
- Authentifizierungsanmeldeinformationen, die sicher in Azure Key Vault für ADLS und Azure Databricks gespeichert werden.
- Die spezifischen Tabellen, die als Verbund verwendet werden sollen.
Verbundtabellen
Verbundtabellen sind Tabellen, die aus einer Verbundverbindung stammen. Verbundtabellen werden auf der Seite Sentinel Data Lake-Tabellenverwaltung angezeigt und können wie native Tabellen abgefragt werden. Verbundtabellennamen folgen dem Muster <tableName>_<connectorInstanceName>. Wenn Ihr Connector z. B. instance benannt ADLS01 ist und Sie einen Verbund mit einer Tabelle namens widgetsbilden, lautet widgets_ADLS01der Name der Verbundtabelle .
Connectorinstanzen
Jede konfigurierte Verbindung mit einer externen Datenquelle wird als Connector instance bezeichnet. Sie können mehrere Instanzen für denselben Verbundquelltyp erstellen, von denen jede eine Verbindung mit unterschiedlichen externen Ressourcen herstellt.
Voraussetzungen
Stellen Sie vor dem Einrichten des Datenverbunds sicher, dass sie die folgenden Anforderungen erfüllen:
- Sentinel Data Lake-Onboarding: Ihr Mandant muss in den Sentinel Data Lake integriert werden. Weitere Informationen finden Sie unter Onboarding in Microsoft Sentinel Data Lake.
- Öffentliche Barrierefreiheit: Die externe Quelle muss öffentlich zugänglich sein. Private Endpunkte werden derzeit nicht unterstützt.
- Dienstprinzipal: Ein Dienstprinzipal mit den entsprechenden Berechtigungen in der Datenquelle, mit der Sie eine Verbindung herstellen möchten, ist für Azure Databricks- und Azure Data Lake Storage Gen2-Quellen erforderlich.
- Azure Key Vault: Eine Azure Key Vault zum Speichern von Authentifizierungsgeheimnissen für den Dienstprinzipal. Sie müssen Berechtigungen für Microsoft Sentinel verwaltete Identität zum Lesen von Geheimnissen aus dem Schlüsseltresor konfigurieren.
Funktionsweise des Verbunds
- Konfigurieren der Authentifizierung: Erstellen Sie einen Dienstprinzipal, und speichern Sie seine Anmeldeinformationen in Azure Key Vault.
- Erstellen einer Verbundverbindung: Verwenden Sie die Seite Datenconnectors in Microsoft Sentinel, um einen Connector instance für die ausgewählte Datenverbundquelle zu erstellen.
- Tabellen auswählen: Wählen Sie aus, welche Tabellen aus der externen Quelle verbundiert werden sollen.
- Abfragen von Verbunddaten: Verwenden Sie Data Lake-Funktionen wie KQL-Abfragen, Notebooks oder MCP-Tools, um neben nativen Sentinel Daten auf Verbundtabellen zuzugreifen.
Häufige Szenarien für den Datenverbund
Mit dem Datenverbund können Sie auf Daten zugreifen, die sich außerhalb des Data Lake befinden. Dies ist besonders nützlich in den folgenden Szenarien:
Datenquellen, die über mehrere Teams und Systeme hinweg operationalisiert werden.
Jahrelange Verlaufsdaten, die Sie auf natürliche Weise altern möchten und die nicht kosteneffektiv erfasst werden können.
Regionale oder Compliancebestimmungen, die das Kopieren von Daten einschränken.
Daten, auf die nicht häufig zugegriffen wird und nur in eingeschränkten Szenarien kontextrelevant sind.
Vorteile des Datenverbunds
Einheitliche Sicherheitsanalysen
Kombinieren Sie Sicherheitsereignisdaten in Sentinel mit Kontext aus externen Quellen, z. B.:
- Analyseausgaben von Databricks
- In ADLS Gen 2 gespeicherte Verlaufsprotokolle
- Geschäftsanwendungsdaten aus Microsoft Fabric
Betriebsflexibilität
- Zugriff auf Daten über Organisationsgrenzen hinweg
- Integrieren von Daten aus verschiedenen Teams oder Geschäftseinheiten
- Unterstützung komplexer Untersuchungen, die mehrere Datenquellen umfassen
Begrenzungen
- Datenquellen müssen öffentlich zugänglich sein. Private Endpunkte werden nicht unterstützt.
- Azure Key Vault Netzwerk muss während der Konfiguration von ADLS- oder Azure Databricks-Verbindungsinstanzen für den öffentlichen Zugriff aus allen Netzwerken zulassen festgelegt werden. Dies ist die Standardeinstellung für Key Vault. Nachdem Sie das Erstellen oder Bearbeiten einer Verbindung abgeschlossen haben, kann für die zugeordnete Key Vault eine andere Netzwerkeinstellung konfiguriert werden.
- Verbundverbindungen mit Microsoft Fabric unterstützen schemafähige Lakehouses, bei denen Arbeitsbereiche nicht für den Schutz des ausgehenden Zugriffs aktiviert sind.
- Der Datenverbund ist schreibgeschützt. Sie können keine Daten zurück in Verbundquellen schreiben.
- Die Abfrageleistung hängt von der Reaktionsfähigkeit und dem Datenvolumen der externen Quelle ab.
- Verbundverbindungen mit einer Fabric-Quelle können maximal 100 Tabellen innerhalb der Verbindung instance enthalten.
- Sie können maximal 100 Connectorinstanzen verwenden. Azure Databricks und ADLS verwenden einen Connector instance pro Verbundverbindung. Microsoft Fabric verwendet einen Connector instance pro Lakehouse-Schema in einer Verbundverbindung.