Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La federación de datos en Microsoft Sentinel permite realizar consultas sin problemas de varios orígenes de datos externos desde el entorno Microsoft Sentinel data lake. Al federar orígenes de datos como Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 y Microsoft Fabric, las organizaciones pueden mejorar su análisis de seguridad e información operativa sin mover ni duplicar datos.
¿Qué es la federación de datos?
La federación de datos permite consultar orígenes de datos externos directamente desde el lago de datos de Microsoft Sentinel mediante Lenguaje de consulta Kusto (KQL) o cuadernos de Jupyter Notebook mediante la extensión Microsoft Sentinel Visual Studio Code. En lugar de ingerir los datos en Sentinel, la federación crea conexiones a almacenes de datos externos, habilitando:
- Análisis unificado: consulte orígenes federados junto con tablas nativas de data lake Microsoft Sentinel.
- Conservar los controles de gobernanza y cumplimiento: mantenga la seguridad y el cumplimiento de los datos consultando los datos en su lugar sin moverlos.
- Información mejorada: combine datos de seguridad con datos empresariales, registros u otros conjuntos de datos almacenados en sistemas externos.
- Acceso flexible a datos: acceda a conjuntos de datos históricos o especializados que complementen las operaciones de seguridad.
Importante
La federación de datos es unidireccional desde el lago de datos Sentinel hasta el destino federado. Puede consultar un origen federado desde el lago de datos, pero no puede acceder al lago de datos desde un origen federado.
Orígenes de federación disponibles
Están disponibles los siguientes orígenes de federación:
| Origen | Description |
|---|---|
| Azure Databricks | Conéctese a tablas del catálogo de Databricks Unity y consulte datos desde Sentinel. |
| Azure Data Lake Storage Gen 2 | Consultar datos almacenados en cuentas de almacenamiento de ADLS Gen 2 directamente desde el lago de datos Sentinel. |
| Microsoft Fabric | Conéctese a las tablas de Microsoft Fabric Lakehouse para el análisis integrado. |
Conceptos básicos
Conexiones federadas
Una conexión federada es un vínculo configurado entre el lago de datos Sentinel y un origen de datos externo. Cada conexión especifica:
- Origen de datos de destino (Databricks, ADLS Gen 2 o Fabric).
- Credenciales de autenticación almacenadas de forma segura en Azure Key Vault para ADLS y Azure Databricks.
- Tablas específicas que se van a federar.
Tablas federadas
Las tablas federadas son tablas que proceden de una conexión federada. Las tablas federadas aparecen en la página administración de tablas Sentinel lago de datos y se pueden consultar como tablas nativas. Los nombres de tabla federados siguen el patrón <tableName>_<connectorInstanceName>. Por ejemplo, si la instancia del conector se denomina ADLS01 y federa con una tabla denominada widgets, el nombre de la tabla federada es widgets_ADLS01.
Instancias del conector
Cada conexión configurada a un origen de datos externo se denomina instancia del conector. Puede crear varias instancias para el mismo tipo de origen de federación, cada una de las cuales se conecta a diferentes recursos externos.
Requisitos previos
Antes de configurar la federación de datos, asegúrese de cumplir los siguientes requisitos:
- Sentinel incorporación del lago de datos: el inquilino debe incorporarse al lago de datos de Sentinel. Para obtener más información, consulte Incorporación a Microsoft Sentinel lago de datos.
- Accesibilidad pública: el origen externo debe ser accesible públicamente. Actualmente no se admiten puntos de conexión privados.
- Entidad de servicio: se requiere una entidad de servicio con los permisos adecuados en el origen de datos con el que desea conectarse para Azure Databricks y Azure Data Lake Storage Gen2 orígenes.
- Azure Key Vault: un Azure Key Vault para almacenar los secretos de autenticación de la entidad de servicio. Debe configurar permisos para Microsoft Sentinel identidad administrada para leer secretos del almacén de claves.
Funcionamiento de la federación
- Configurar la autenticación: cree una entidad de servicio y almacene sus credenciales en Azure Key Vault.
- Crear una conexión federada: use la página Conectores de datos de Microsoft Sentinel para crear una instancia del conector para el origen de federación de datos elegido.
- Seleccionar tablas: elija las tablas del origen externo que desea federar.
- Consulta de datos federados: use experiencias de lago de datos como consultas KQL, cuadernos o herramientas de MCP para acceder a tablas federadas junto con datos nativos Sentinel.
Escenarios comunes para la federación de datos
La federación de datos le permite acceder a los datos que residen fuera del lago de datos. Esto es especialmente valioso en los siguientes escenarios:
Orígenes de datos que están operativos en varios equipos y sistemas.
Años de datos históricos que desea eliminar de forma natural y que no son rentables para la ingesta.
Regulaciones regionales o de cumplimiento que impiden la copia de datos.
Datos a los que no se accede con frecuencia y que solo son pertinentes contextualmente en escenarios limitados.
Ventajas de la federación de datos
Análisis de seguridad unificado
Combine los datos de eventos de seguridad en Sentinel con el contexto de orígenes externos, como:
- Salidas de análisis de Databricks
- Registros históricos almacenados en ADLS Gen 2
- Datos de aplicaciones empresariales de Microsoft Fabric
Flexibilidad operativa
- Acceso a datos a través de los límites de la organización
- Integración de datos de diferentes equipos o unidades de negocio
- Admitir investigaciones complejas que abarcan varios orígenes de datos
Limitaciones
- Los orígenes de datos deben ser accesibles públicamente. No se admiten puntos de conexión privados.
- Azure Key Vault redes deben establecerse para Permitir el acceso público desde todas las redes, que es el valor predeterminado para Key Vault, durante la configuración de ADLS o Azure instancias de conexión de Databricks. Una vez completada la creación o edición de una conexión, los Key Vault asociados pueden tener configurada una configuración de red diferente.
- Las conexiones federadas a Microsoft Fabric admiten lakehouses habilitados para esquemas, donde las áreas de trabajo no están habilitadas para la protección de acceso saliente.
- La federación de datos es de solo lectura; no puede volver a escribir datos en orígenes federados.
- El rendimiento de las consultas depende de la capacidad de respuesta del origen externo y del volumen de datos.
- Las conexiones federadas a un origen de Fabric pueden tener un máximo de 100 tablas dentro de la instancia de conexión.
- Puede tener un máximo de 100 instancias de conector. Azure Databricks y ADLS usan una instancia de conector por conexión federada. Microsoft Fabric usa una instancia de conector por esquema de lakehouse en una conexión federada.