Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel tietojen liittämisen avulla useiden ulkoisten tietolähteiden saumaton kysely on mahdollista Microsoft Sentinel Data Lake -ympäristössä. Liittämällä tietolähteitä, kuten Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 ja Microsoft Fabric, organisaatiot voivat parantaa suojausanalytiikkaansa ja toiminnallisia merkityksellisiä tietojaan siirtämättä tai monistamatta tietoja.
Mikä on tietojen yhdistäminen?
Tietojen liittämisen avulla voit tehdä kyselyn ulkoisista tietolähteistä suoraan Microsoft Sentinel Data Lake -tallennustilasta käyttämällä Kusto Query Language (KQL) - tai Jupyter-muistikirjoja käyttämällä Microsoft Sentinel Visual Studio Code -laajennusta. Sen sijaan, että tiedot oltaisiin Sentinel, liittoutumis luo yhteyksiä ulkoisiin tietosäilöihin ja ottaa käyttöön seuraavat:
- Yhdistetty analytiikka: Kysele liitettyjä lähteitä alkuperäisten Microsoft Sentinel Data Lake -taulukoiden rinnalla.
- Säilytä hallinnon ja yhteensopivuuden hallinta: Ylläpidä tietosuojaa ja vaatimustenmukaisuutta tekemällä kyselyjä paikoillaan ilman niiden siirtämistä.
- Parannetut merkitykselliset tiedot: Yhdistä suojaustiedot yritystietoihin, lokeihin tai muihin ulkoisiin järjestelmiin tallennettuihin tietojoukkoihin.
- Joustava tietojen käyttö: käytä historiallisia tai erityisiä tietojoukkoja, jotka täydentävät suojaustoimintojasi.
Tärkeää
Data federation on yksisuuntainen Sentinel Data Lakesta liitettyjen kohteiden kanssa. Voit tehdä kyselyn liitettyyn lähteeseen Data Lake -tallennustilasta, mutta et voi käyttää Data Lake -tallennuslähdettä liitetyn lähteen avulla.
Käytettävissä olevat liittoutumislähteet
Seuraavat liittoutumislähteet ovat käytettävissä:
| Lähde | Kuvaus |
|---|---|
| Azure Databricks | Muodosta yhteys Databricks Unity Catalog -taulukoihin ja kysele tietoja Sentinel. |
| Azure Data Lake Storage Gen 2 | Kyselytiedot, jotka on tallennettu ADLS Gen 2 -tallennustileihin suoraan Sentinel Data Lake -tallennustilasta. |
| Microsoft Fabric | Yhdistä Microsoft Fabric Lakehouse -taulukoihin integroitua analytiikkaa varten. |
Avainkäsitteet
Liitetyt yhteydet
Liitetty yhteys on määritetty linkki Sentinel Data Lake -tallennustilan ja ulkoisen tietolähteen välillä. Jokainen yhteys määrittää:
- Kohdetietolähde (Databricks, ADLS Gen 2 tai Fabric).
- Todentamisen tunnistetiedot tallennetaan suojatusti Azure Key Vault ADLS:lle ja Azure Databricksille.
- Tietyt liitettävät taulukot.
Liitetyt taulukot
Liitetyt taulukot ovat taulukoita, jotka ovat peräisin liitetystä yhteydestä. Liitetyt taulukot näkyvät Sentinel Data Lake Table Management -sivulla, ja niitä voidaan kysellä alkuperäisten taulukoiden tavoin. Liitettyjen taulukoiden nimet noudattavat kaavaa <tableName>_<connectorInstanceName>. Jos yhdistimen esiintymä on esimerkiksi nimetty ADLS01 ja liität kohteen taulukolla, jonka nimi widgetson , liitetyn taulukon nimi on widgets_ADLS01.
Yhdistimen esiintymät
Kutakin määritettyä yhteyttä ulkoiseen tietolähteeseen kutsutaan liittimen esiintymäksi. Voit luoda useita esiintymiä samalle liittoutumisen lähdetyypille, joista jokainen muodostaa yhteyden eri ulkoisiin resursseihin.
Ennakkovaatimukset
Ennen kuin määrität tietojen yhdistämistä, varmista, että täytät seuraavat vaatimukset:
- Sentinel Data Lakeen perehdytys: vuokraajasi on siirrettävä data lake -Sentinel. Katso lisätietoja artikkelista Microsoft Sentinel Data Lakeen perehdytys.
- Julkinen helppokäyttötoiminto: Ulkoisen lähteen on oltava julkisesti käytettävissä. Yksityisiä päätepisteitä ei tueta tällä hetkellä.
- Palvelun päänimi: Azure Databricksille ja Azure Data Lake Storage Gen2 lähteille vaaditaan palvelun päänimi, jolla on tarvittavat käyttöoikeudet tietolähteeseen, johon haluat muodostaa yhteyden.
- Azure Key Vault: Azure Key Vault todennussalaisuuksien tallentamiseen palvelun päänimelle. Sinun on määritettävä oikeudet Microsoft Sentinel hallituille käyttäjätietoille salaisten koodien lukemiseksi avainsäilöstä.
Miten liittoutumis toimii
- Todennuksen määrittäminen: Luo palvelun päänimi ja tallenna sen tunnistetiedot Azure Key Vault.
- Liitetyn yhteyden luominen: Käytä Microsoft Sentinel tietoyhdistimien sivua luodaksesi liitinesiintymän valitsemallesi tietojen liittoutumislähteelle.
- Valitse taulukot: Valitse ulkoisesta lähteestä liitettävät taulukot.
- Kyselyn liitetyt tiedot: Käytä Data Lake -käyttökokemuksia, kuten KQL-kyselyitä, muistikirjoja tai MCP-työkaluja, kun haluat käyttää liitettyjä taulukoita alkuperäisten Sentinel tietojen rinnalla.
Yleiset tietoliittämisen skenaariot
Tietoliittämisen avulla voit käyttää datajärven ulkopuolella sijaitsevia tietoja. Tämä on erityisen arvokasta seuraavissa tilanteissa:
Tietolähteet, jotka on operationalisoitu useissa tiimeissä ja järjestelmissä.
Vuosien historialliset tiedot, jotka haluat luonnollisesti ikääntyä ja joita ei ole kustannustehokasta käyttää.
Alueelliset tai vaatimustenmukaisuusmääräykset, jotka rajoittavat tietojen kopioimista.
Tietoja, joita ei usein käsitellä ja jotka ovat merkityksellisiä vain tilannekohtaisesti rajoitetuissa tilanteissa.
Tietoliittämisen edut
Yhdistetty suojausanalytiikka
Yhdistä suojaustapahtuman tiedot Sentinel kontekstiin ulkoisista lähteistä, kuten:
- Databricksin analytiikkatulosteet
- ADLS Gen 2:een tallennetut historialliset lokit
- Microsoft Fabricin yrityssovellustiedot
Toiminnallinen joustavuus
- Tietojen käyttö organisaation rajojen yli
- Tietojen integrointi eri tiimeistä tai liiketoimintayksiköistä
- Tue monimutkaisia tutkimuksia, jotka kattavat useita tietolähteitä
Rajoitukset
- Tietolähteiden on oltava julkisesti käytettävissä. Yksityisiä päätepisteitä ei tueta.
- Azure Key Vault verkkoyhteys on määritettävä Salli julkinen käyttö kaikista verkoista -asetukseksi, joka on oletusarvoinen Key Vault, ADLS- tai Azure Databricks -yhteysesiintymien määrittämisen aikana. Kun olet luonut yhteyden tai muokannut sitä, siihen liittyvälle Key Vault voidaan määrittää eri verkkoasetus.
- Liitetyt yhteydet Microsoft Fabriciin tukevat rakennetta tukevia lakehouse-tiloja, joissa työtiloja ei ole otettu käyttöön lähtevän käytön suojaamista varten.
- Tietoliito on vain luku -tilassa; et voi kirjoittaa tietoja takaisin liitettyihin lähteisiin.
- Kyselyn suorituskyky riippuu ulkoisen lähteen reagoivuudesta ja tietojen määrästä.
- Liitetyt yhteydet Fabric-lähteeseen voivat sisältää enintään 100 taulukkoa yhteysesiintymässä.
- Sinulla voi olla enintään 100 liitinesiintymää. Azure Databricks ja ADLS käyttävät yhtä yhdistimen esiintymää liitettyä yhteyttä kohden. Microsoft Fabric käyttää liitetyn yhteyden yhteydessä yhtä liitinesiintymää lakehouse-rakennetta kohden.