Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Für Microsoft Sentinel Arbeitsbereiche, die mit Defender verbunden sind, muss die Tiering- und Aufbewahrungsverwaltung über die neue Tabellenverwaltungsoberfläche im Defender-Portal erfolgen. Verwenden Sie für nicht angefügte Microsoft Sentinel Arbeitsbereiche weiterhin die unten beschriebenen Funktionen, um Daten in Ihren Arbeitsbereichen zu verwalten.
Es gibt zwei konkurrierende Aspekte der Protokollsammlung und -aufbewahrung, die für ein erfolgreiches Bedrohungserkennungsprogramm entscheidend sind. Auf der einen Seite möchten Sie die Anzahl der Protokollquellen maximieren, die Sie sammeln, damit Sie eine möglichst umfassende Sicherheitsabdeckung haben. Auf der anderen Seite müssen Sie die Kosten minimieren, die durch die Erfassung all dieser Daten entstehen.
Diese konkurrierenden Anforderungen erfordern eine Protokollverwaltungsstrategie, die Datenzugriff, Abfrageleistung und Speicherkosten ausgleicht.
In diesem Artikel werden Datenkategorien und die Aufbewahrungsstatus erläutert, die zum Speichern und Zugreifen auf Ihre Daten verwendet werden. Außerdem werden die Protokollebenen beschrieben, Microsoft Sentinel Ihnen bietet, eine Protokollverwaltungs- und Aufbewahrungsstrategie zu erstellen.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Kategorien der erfassten Daten
Microsoft empfiehlt, in Microsoft Sentinel erfasste Daten in zwei allgemeine Kategorien zu klassifizieren:
Primäre Sicherheitsdaten sind Daten, die einen kritischen Sicherheitswert enthalten. Diese Daten werden für proaktive Echtzeitüberwachung, geplante Warnungen und Analysen verwendet, um Sicherheitsbedrohungen zu erkennen. Die Daten müssen nahezu in Echtzeit für alle Microsoft Sentinel Verfügbar sein.
Sekundäre Sicherheitsdaten sind ergänzende Daten, die häufig in umfangreichen ausführlichen Protokollen enthalten sind. Diese Daten haben einen begrenzten Sicherheitswert, bieten aber zusätzlichen Umfang und Kontext für Erkennungen und Untersuchungen, sodass sie dazu beitragen, das vollständige Bild eines Sicherheitsvorfalls zu zeichnen. Es muss nicht sofort verfügbar sein, sollte aber bei Bedarf und in geeigneten Dosen bei Bedarf zugänglich sein.
Primäre Sicherheitsdaten
Diese Kategorie besteht aus Protokollen, die einen kritischen Sicherheitswert für Ihre organization enthalten. Zu den primären Anwendungsfällen für Sicherheitsdaten für Sicherheitsvorgänge gehören:
Häufige Überwachung. Regeln zur Bedrohungserkennung (Analyse) werden für diese Daten in regelmäßigen Abständen oder nahezu in Echtzeit ausgeführt.
Bedarfsgesteuerte Suche. Für diese Daten werden komplexe Abfragen ausgeführt, um eine interaktive, leistungsstarke Suche nach Sicherheitsbedrohungen auszuführen.
Korrelation. Daten aus diesen Quellen werden mit Daten aus anderen primären Sicherheitsdatenquellen korreliert, um Bedrohungen zu erkennen und Angriffsgeschichten zu erstellen.
Regelmäßige Berichterstellung. Daten aus diesen Quellen sind für die Zusammenstellung in regelmäßigen Berichten über die Sicherheitsintegrität der organization sowohl für Sicherheits- als auch für allgemeine Entscheidungsträger verfügbar.
Verhaltensanalysen. Daten aus diesen Quellen werden verwendet, um Baselineverhaltensprofile für Ihre Benutzer und Geräte zu erstellen, sodass Sie outlying verhaltensweisen als verdächtig identifizieren können.
Einige Beispiele für primäre Datenquellen sind:
- Protokolle von Antiviren- oder Unternehmenserkennungs- und Reaktionssystemen (EDR)
- Authentifizierungsprotokolle
- Überwachungspfade von Cloudplattformen
- Threat Intelligence-Feeds
- Warnungen von externen Systemen
Protokolle, die primäre Sicherheitsdaten enthalten, sollten mithilfe der Analyseebene gespeichert werden.
Sekundäre Sicherheitsdaten
Diese Kategorie umfasst Protokolle, deren individueller Sicherheitswert begrenzt ist, aber für eine umfassende Übersicht über einen Sicherheitsvorfall oder eine Sicherheitsverletzung unerlässlich ist. In der Regel sind diese Protokolle mit hohem Volumen und können ausführlich sein. Die Anwendungsfälle für Sicherheitsvorgänge für diese Daten umfassen Folgendes:
Threat Intelligence. Primäre Daten können anhand von Listen von Indicators of Compromise (IoC) oder Indicators of Attack (IoA) überprüft werden, um Bedrohungen schnell und einfach zu erkennen.
Ad-hoc-Suche/Untersuchungen. Daten können 30 Tage lang interaktiv abgefragt werden, was eine wichtige Analyse für die Bedrohungssuche und -untersuchungen ermöglicht.
Umfangreiche Suchvorgänge. Daten können im Hintergrund im Petabyte-Maßstab erfasst und durchsucht werden, während sie bei minimaler Verarbeitung effizient gespeichert werden.
Zusammenfassung über KQL-Aufträge. Fassen Sie Protokolle mit hohem Volumen in aggregierten Informationen zusammen, und speichern Sie die Ergebnisse auf der Analyseebene.
Beispiele für sekundäre Datenprotokollquellen sind Cloudspeicherzugriffsprotokolle, NetFlow-Protokolle, TLS/SSL-Zertifikatprotokolle, Firewallprotokolle, Proxyprotokolle und IoT-Protokolle.
Verwenden Sie für Protokolle, die sekundäre Sicherheitsdaten enthalten, den Microsoft Sentinel Data Lake, der für erweiterte Skalierbarkeit, Flexibilität und Integrationsfunktionen für erweiterte Sicherheits- und Complianceszenarien konzipiert ist.
Protokollverwaltungsebenen
Microsoft Sentinel bietet zwei verschiedene Protokollspeicherebenen oder -typen, um diese Kategorien erfasster Daten zu berücksichtigen.
Der Analyseebenenplan ist so konzipiert, dass primäre Sicherheitsdaten gespeichert und bei hoher Leistung einfach und ständig zugänglich sind.
Die Data Lake-Ebene ist für die kostengünstige Speicherung sekundärer Sicherheitsdaten über längere Zeiträume optimiert, während die Barrierefreiheit erhalten bleibt.
Analyseebene
Auf der Analyseebene werden Daten standardmäßig 90 Tage lang im interaktiven Aufbewahrungszustand beibehalten, der für bis zu zwei Jahre erweiterbar ist. Dieser interaktive Zustand ist zwar teuer, ermöglicht es Ihnen aber, Ihre Daten unbegrenzt und ohne Kosten pro Abfrage mit hoher Leistung abzufragen.
Data Lake-Ebene
Microsoft Sentinel Data Lake ist ein vollständig verwalteter, moderner Data Lake, der Sicherheitsdaten im großen Stil vereint und speichert, sodass erweiterte Analysen über mehrere Modalitäten hinweg und ki-agentic-basierte Bedrohungserkennung ermöglicht werden. Es ermöglicht Sicherheitsteams, langfristige Bedrohungen zu untersuchen, Warnungen anzureichern und Verhaltensbaselines mithilfe von Daten aus Monaten zu erstellen.
Wenn die Gesamtaufbewahrung so konfiguriert ist, dass sie länger als die Aufbewahrungsdauer der Analyseebene ist oder der Aufbewahrungszeitraum der Analyseebene endet, sind daten, die außerhalb der Aufbewahrungsebene der Analyseebene gespeichert sind, weiterhin auf der Data Lake-Ebene zugänglich.
Verwandte Inhalte
- Weitere Informationen zu Microsoft Sentinel Data Lake finden Sie unter Microsoft Sentinel Data Lake.
- Informationen zum Onboarding in Microsoft Sentinel Data Lake finden Sie unter Onboarding von Daten in Microsoft Sentinel Data Lake.