Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los datos de activos en ciberseguridad hacen referencia a las entidades físicas y digitales de una organización, como equipos, identidades, software, servicios en la nube y redes. Muestra lo que existe para que sepa lo que debe protegerse. el lago de datos de Microsoft Sentinel agrega un valor eficaz almacenando estos datos de recursos de una manera escalable y rentable que admite la retención a largo plazo, el análisis avanzado y la detección de amenazas controladas por inteligencia artificial. Con una visibilidad unificada en todos los sistemas y una administración de datos flexible, Sentinel lake ayuda a los equipos de seguridad a comprender su entorno, detectar actividades inusuales y responder a amenazas.
¿Cómo se habilita la ingesta de datos de recursos en Sentinel lago de datos?
Al incorporarse a Sentinel lago, los datos de recursos se ingieren automáticamente si tiene los permisos adecuados. Para obtener más información, consulte Permisos necesarios para orígenes de recursos.
Si no tiene permisos suficientes, se crean tablas de recursos, pero no se ingieren datos. Habilite manualmente la ingesta de datos de recursos de la siguiente manera:
- Vaya al área de trabajo Microsoft Sentinel del Azure Portal.
- Vaya a la página Conectores de datos .
- Busque el conector de origen de datos de recursos pertinente.
- Seleccione el conector y siga las indicaciones para habilitar la ingesta.
Los datos de recursos se ingieren solo en el nivel de lago de datos Microsoft Sentinel. Después de la incorporación, los datos de recursos pueden tardar hasta 24 horas en llegar al lago.
Los datos del recurso se conservan durante 30 días de forma predeterminada. La retención se puede ampliar hasta 12 años. Para obtener más información sobre cómo administrar la retención de tablas, consulte la documentación de Table Management.
Consideraciones de facturación
Los clientes incurren en cargos por ingesta de datos de activos.
Los clientes incurren en cargos por retención de datos de activos.
Las instantáneas de datos de recursos se toman una vez cada 24 horas.
Dado que la ingesta de datos de recursos está habilitada de forma predeterminada al incorporarse a Sentinel lago de datos, es importante comprender el rol fundamental de los conectores de datos Sentinel de recursos que facilitan la ingesta de datos de recursos. Estos conectores de datos son responsables de incorporar datos relacionados con recursos en Sentinel lago de datos y se agrupan en sus respectivos paquetes de solución de Sentinel. Puede detectar y administrar estas soluciones a través del Centro de contenido.
Permisos necesarios para orígenes de recursos
En la tabla siguiente se describen los distintos orígenes de datos de recursos y sus conectores de datos:
| Origen de datos | Tablas | Permiso | Solución del conector de datos |
|---|---|---|---|
| Azure Resource Graph (ARG) |
ARGResources ARGResourceContainers ARGAuthorizationResources |
Propietario de la suscripción | Azure Resource Graph |
| Microsoft Entra ID |
EntraApplications EntraGroupMemberships EntraGroups EntraMembers EntraOrganizations EntraServicePrincipals EntraUsers |
Ninguno | recurso de Microsoft Entra ID |
Nota:
Algunos conectores de datos, incluidos, entre otros, los conectores de recursos, contribuyen a la construcción de gráficos de riesgo de datos en Purview. Si estos gráficos están activos, deshabilitar los conectores asociados interrumpe su generación. Las descripciones del conector indican si están implicadas en la creación de gráficos de riesgo de datos.
Requisitos previos
Para administrar conectores de datos de recursos, debe cumplir los siguientes requisitos previos:
- Asegúrese de que tiene el acceso y los permisos necesarios para Microsoft Sentinel, como la columna Permisos especificada de la tabla anterior.
- Busque la solución pertinente que contiene el conector de datos en el Centro de contenido. Content Hub se puede encontrar en el menú Microsoft SentinelContent Management>Content Hub. Instale la solución si aún no está instalada.
Configuración y administración
Acceda a la página del conector de una de las siguientes maneras:
Desde la solución instalada:
- Seleccione Administrar.
- Seleccione el conector y, a continuación, abra la página del conector.
Desde la galería del conector:
- La galería conector se puede encontrar en el menú Microsoft SentinelConectores de datos de configuración>
Para editar el período de retención de la tabla, seleccione en los tres puntos (...) situados a la derecha del nombre de la tabla en la cuadrícula de administración de tablas. Seleccione un período de retención de hasta 12 años. Cuando el conector de datos de recursos muestra un estado conectado , el texto del botón de alternancia muestra Desconectar. Esto indica que la ingesta está habilitada. Para deshabilitar la ingesta, seleccione el botón Desconectar . Una vez desconectado, el estado del conector muestra Desconectado y el texto del botón cambia a Conectar.
Uso de datos de recursos para enriquecer datos de actividad
Los datos de recursos agregan información y contexto valiosos que podrían no ser evidentes solo en los registros de actividad.
Por ejemplo, al investigar inicios de sesión de riesgo en la SigninLogs tabla, puede mejorar el análisis si lo une con la EntraUsers tabla para incluir atributos específicos del usuario, como el departamento y la fecha de contratación. Este contexto adicional ayuda a los equipos de seguridad a comprender mejor el comportamiento de los usuarios y evaluar las posibles amenazas con más precisión.
SigninLogs
| where IsRisky == true
| join kind=leftouter (
EntraUsers
| summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate
Ejecución de consultas KQL en datos de recursos
Para ejecutar consultas KQL en datos de recursos en el lago de datos de Sentinel, asegúrese de que está realizando consultas en el ámbito del área de trabajo correcto. Siga estos pasos:
Vaya al menú Microsoft SentinelConsultas de KQL de exploración de> data lake
Seleccione el botón Área de trabajo seleccionada .
Asegúrese de que el área de trabajo Tablas del sistema está seleccionada.
Las tablas de datos de recursos se muestran en la categoría Recurso:
Pasos siguientes
- Consulte la documentación de Table Management para obtener más información sobre las opciones de almacenamiento por niveles de datos y la configuración de retención.
- Vea cómo los datos de recursos enriquecen los gráficos de riesgo de datos de Purview.
- Cómo consultar Sentinel lago de datos