Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ressourcendaten in der Cybersicherheit beziehen sich auf die physischen und digitalen Entitäten eines organization wie Computer, Identitäten, Software, Clouddienste und Netzwerke. Es zeigt, was vorhanden ist, damit Sie wissen, was geschützt werden muss. Microsoft Sentinel Data Lake bietet einen leistungsstarken Mehrwert, indem diese Ressourcendaten auf skalierbare, kosteneffiziente Weise gespeichert werden, die eine langfristige Aufbewahrung, erweiterte Analysen und KI-gesteuerte Bedrohungserkennung unterstützt. Dank einheitlicher Systemsichtbarkeit und flexibler Datenverwaltung hilft Sentinel Lake Sicherheitsteams dabei, ihre Umgebung zu verstehen, ungewöhnliche Aktivitäten zu erkennen und auf Bedrohungen zu reagieren.
Wie wird die Erfassung von Ressourcendaten in Sentinel Data Lake aktiviert?
Beim Onboarding in Sentinel Lake werden Ressourcendaten automatisch erfasst, wenn Sie über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für Ressourcenquellen.
Wenn Sie nicht über ausreichende Berechtigungen verfügen, werden Ressourcentabellen erstellt, aber es werden keine Daten erfasst. Aktivieren Sie die Erfassung von Ressourcendaten wie folgt manuell:
- Wechseln Sie zum Microsoft Sentinel Arbeitsbereich im Azure-Portal.
- Navigieren Sie zur Seite Datenconnectors .
- Suchen Sie den relevanten Ressourcendatenquellenconnector.
- Wählen Sie den Connector aus, und folgen Sie den Anweisungen, um die Erfassung zu aktivieren.
Ressourcendaten werden nur in der Microsoft Sentinel Data Lake-Ebene erfasst. Nach dem Onboarding von Ressourcendaten kann es bis zu 24 Stunden dauern, bis sie im See ankommen.
Ressourcendaten werden standardmäßig 30 Tage lang aufbewahrt. Die Aufbewahrung kann für bis zu 12 Jahre erweitert werden. Weitere Informationen zum Verwalten der Tabellenaufbewahrung finden Sie in der Dokumentation zur Tabellenverwaltung.
Überlegungen zur Abrechnung
Kunden fallen Gebühren für die Erfassung von Ressourcendaten an.
Kunden fallen Gebühren für die Aufbewahrung von Ressourcendaten an.
Momentaufnahmen von Ressourcendaten werden einmal alle 24 Stunden erstellt.
Da die Erfassung von Ressourcendaten beim Onboarding in Sentinel Data Lake standardmäßig aktiviert ist, ist es wichtig, die grundlegende Rolle von Ressourcen- Sentinel Datenconnectors zu verstehen, die die Erfassung von Ressourcendaten erleichtern. Diese Datenconnectors sind dafür verantwortlich, ressourcenbezogene Daten in Sentinel Data Lake zu integrieren und werden in ihren jeweiligen Sentinel Solution-Paketen gebündelt. Sie können diese Lösungen über den Content Hub ermitteln und verwalten.
Erforderliche Berechtigungen für Ressourcenquellen
In der folgenden Tabelle werden die verschiedenen Ressourcendatenquellen und deren Datenconnectors beschrieben:
| Datenquelle | Tabellen | Permission | Datenconnectorlösung |
|---|---|---|---|
| Azure Resource Graph (ARG) |
ARGResources ARGResourceContainers ARGAuthorizationResources |
Abonnementbesitzer | Azure Resource Graph |
| Microsoft Entra-ID |
EntraApplications EntraGroupMemberships EntraGroups EntraMembers EntraOrganizations EntraServicePrincipals EntraUsers |
Keine | Microsoft Entra ID Asset |
Hinweis
Bestimmte Datenconnectors, einschließlich, aber nicht beschränkt auf Ressourcenconnectors, tragen zur Erstellung von Datenrisikodiagrammen in Purview bei. Wenn diese Diagramme aktiv sind, wird durch das Deaktivieren der zugehörigen Connectors die Generierung unterbrochen. Connectorbeschreibungen geben an, ob sie an der Erstellung von Datenrisikodiagrammen beteiligt sind.
Voraussetzungen
Zum Verwalten von Ressourcendatenconnectors müssen die folgenden Voraussetzungen erfüllt sein:
- Stellen Sie sicher, dass Sie über den erforderlichen Zugriff und die erforderlichen Berechtigungen für Microsoft Sentinel verfügen, wie in der vorherigen Tabelle angegeben.
- Suchen Sie im Content Hub nach der relevanten Lösung, die den Datenconnector enthält. Content Hub finden Sie im Menü Microsoft SentinelContent Management>Content Hub. Installieren Sie die Lösung, wenn sie noch nicht installiert ist.
Konfigurieren und Verwalten
Greifen Sie auf eine der folgenden Arten auf die Connectorseite zu:
Aus der installierten Lösung:
- Wählen Sie Verwalten aus.
- Wählen Sie den Connector und dann die Seite "Connector öffnen" aus.
Aus dem Connectorkatalog:
- Den Connectorkatalog finden Sie im Menü Microsoft SentinelKonfigurationsdatenconnectors>.
Um den Aufbewahrungszeitraum der Tabelle zu bearbeiten, wählen Sie im Tabellenverwaltungsraster die drei Punkte (...) rechts neben dem Tabellennamen aus. Wählen Sie einen Aufbewahrungszeitraum von bis zu 12 Jahren aus. Wenn der Medienobjektdatenconnector eine verbundene status anzeigt, zeigt der Text der Umschaltfläche Trennen an. Dies gibt an, dass die Erfassung aktiviert ist. Um die Erfassung zu deaktivieren, wählen Sie die Schaltfläche Trennen aus. Nachdem die Verbindung getrennt wurde, zeigt der Verbinder status Getrennt an, und der Schaltflächentext schaltet auf Verbinden um.
Verwenden von Ressourcendaten zum Anreichern von Aktivitätsdaten
Ressourcendaten fügen wertvollen Kontext und Erkenntnisse hinzu, die möglicherweise nicht allein aus Aktivitätsprotokollen ersichtlich sind.
Wenn Sie beispielsweise riskante Anmeldungen in der SigninLogs Tabelle untersuchen, können Sie die Analyse verbessern, indem Sie sie mit der EntraUsers Tabelle verknüpfen, um benutzerspezifische Attribute wie Abteilung und Einstellungsdatum einzuschließen. Dieser zusätzliche Kontext hilft Sicherheitsteams dabei, das Benutzerverhalten besser zu verstehen und potenzielle Bedrohungen genauer zu bewerten.
SigninLogs
| where IsRisky == true
| join kind=leftouter (
EntraUsers
| summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate
Ausführen von KQL-Abfragen für Ressourcendaten
Um KQL-Abfragen für Ressourcendaten im Sentinel Data Lake auszuführen, stellen Sie sicher, dass Sie abfragen innerhalb des richtigen Arbeitsbereichsbereichs. Gehen Sie folgendermaßen vor:
Navigieren Sie zum Microsoft Sentinel Menü Data Lake Exploration>KQL-Abfragen.
Wählen Sie die Schaltfläche Ausgewählter Arbeitsbereich aus.
Stellen Sie sicher, dass der Arbeitsbereich Systemtabellen ausgewählt ist.
Ressourcendatentabellen werden unter der Kategorie Asset angezeigt:
Nächste Schritte
- Ausführliche Informationen zu Datentieringoptionen und Aufbewahrungseinstellungen finden Sie in der Dokumentation zur Tabellenverwaltung .
- Erfahren Sie, wie Ressourcendaten Purview-Datenrisikodiagramme anreichern.
- Abfragen von Sentinel Data Lake