Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kyberturvallisuuden varallisuustiedot viittaavat organisaation fyysisiin ja digitaalisiin entiteetteihin, kuten tietokoneisiin, käyttäjätietoihin, ohjelmistoihin, pilvipalveluihin ja verkkoihin. Se näyttää, mitä on olemassa, jotta tiedät, mitä on suojattava. Microsoft Sentinel Data Lake tuo tehokasta lisäarvoa tallentamalla nämä resurssitiedot skaalattavalla ja kustannustehokkaalla tavalla, joka tukee pitkäaikaista säilytystä, kehittynyttä analytiikkaa ja tekoälypohjaista uhkien havaitsemista. Sentinel Lake auttaa tietoturvaryhmiä ymmärtämään ympäristöään, havaitsemaan epätavallista toimintaa ja vastaamaan uhkiin yhtenäisellä näkyvyydellä eri järjestelmissä ja joustavalla tiedonhallinnalla.
Miten resurssitietojen käsittely on otettu käyttöön Sentinel Data Lakessa?
Kun siirryt Sentinel Lake -järjestelmään, resurssitiedot otetaan automaattisesti käyttöön, jos sinulla on tarvittavat käyttöoikeudet. Lisätietoja on kohdassa Resurssilähteiden pakolliset käyttöoikeudet.
Jos sinulla ei ole riittäviä käyttöoikeuksia, resurssitaulukot luodaan, mutta tietoja ei käsitellä. Ota resurssitietojen käsittely manuaalisesti käyttöön seuraavasti:
- Siirry Microsoft Sentinel työtilaan Azure-portaali.
- Siirry Tietoliittimet-sivulle .
- Etsi asianmukainen resurssitietolähteen liitin.
- Valitse liitin ja ota käsittely käyttöön noudattamalla kehotteita.
Resurssitiedot käsitellään vain Microsoft Sentinel Data Lake -tasolla. Perehdytystietojen käyttöönoton jälkeen järveen saapuminen voi kestää jopa 24 tuntia.
Resurssitiedot säilytetään oletusarvoisesti 30 päivää. Säilytystä voidaan laajentaa jopa 12 vuodeksi. Lisätietoja taulukon säilyttämisen hallinnasta on taulukonhallinnan dokumentaatiossa.
Huomioitavaa laskutukseen
Asiakkailta veloitetaan käyttöomaisuustietojen käsittelystä.
Asiakkailta veloitetaan omaisuuden tietojen säilyttämisestä.
Resurssitietojen tilannevedokset otetaan kerran 24 tunnissa.
Koska resurssien tietojen käsittely on oletusarvoisesti käytössä, kun Sentinel Data Lakeen otetaan käyttöön, on tärkeää ymmärtää resurssien Sentinel tietoliittimien perustava rooli, joka helpottaa resurssitietojen käsittelyä. Nämä tietoliittimet ovat vastuussa resurssiin liittyvien tietojen tuomisesta Sentinel Data Lakeen, ja ne kootaan niiden Sentinel ratkaisupaketteihin. Voit etsiä ja hallita näitä ratkaisuja sisältökeskuksen kautta.
Resurssilähteiden pakolliset käyttöoikeudet
Seuraavassa taulukossa kuvataan eri resurssitietolähteet ja niiden tietoliittimet:
| Tietolähteen | Taulukot | Lupaa | Tietoyhdistimen ratkaisu |
|---|---|---|---|
| Azure Resource Graph (ARG) |
ARGResources ARGResourceContainers ARGAuthorizationResources |
Tilauksen omistaja | Azure Resource Graph |
| Microsoft Entra ID |
EntraApplications EntraGroupMemberships EntraGroups EntraMembers EntraOrganizations EntraServicePrincipals EntraUsers |
Ei mitään | Microsoft Entra ID kohde |
Huomautus
Tietyt tietoliittimet, mukaan lukien muun muassa resurssien liittimet, vaikuttavat tietoriskikaavioiden rakentamiseen Purview'ssa. Jos nämä kaaviot ovat aktiivisia, niihin liittyvien liittimien poistaminen käytöstä keskeyttää niiden luomisen. Liittimen kuvaukset ilmaisevat, osallistuvatko ne tietoriskikaavioiden luomiseen.
Ennakkovaatimukset
Jotta voit hallita resurssien tietoyhdistimiä, sinun on täytettävä seuraavat edellytykset:
- Varmista, että sinulla on tarvittavat käyttöoikeudet ja oikeudet Microsoft Sentinel edellisen taulukonmääritetyn Käyttöoikeudet-sarakkeen mukaisesti.
- Etsi asianmukainen ratkaisu, joka sisältää tietoliittimen sisältökeskuksessa. Sisältökeskus löytyy Microsoft Sentinel-valikon Sisällönhallinta-sisältökeskuksesta>. Asenna ratkaisu, jos sitä ei ole vielä asennettu.
Määritä ja hallitse
Käytä liitinsivua jollakin seuraavista tavoista:
Asennetussa ratkaisussa:
- Valitse Hallitse
- Valitse liitin ja avaa sitten liitinsivu
Liitin-valikoimasta:
- Liitin-valikoima löytyy Microsoft Sentinel-valikonMääritystietojen>yhdistimet -kohdasta.
Jos haluat muokata taulukon säilytysaikaa, valitse kolme pistettä (...) taulukon nimen oikealla puolella taulukon hallintaruudukossa. Valitse enintään 12 vuoden säilytysaika. Kun resurssitietoyhdistin näyttää yhdistetyn tilan, vaihtopainiketekstissä näkyy Katkaise yhteys. Tämä ilmaisee, että käsittely on käytössä. Voit poistaa tietojen käsittelyt käytöstä valitsemalla Katkaise yhteys -painikkeen. Kun yhteys on katkaistu, liittimen tila näyttää Katkaistu ja painikkeen tekstinä muodostetaan Yhteys.
Toimintotietojen rikastaminen resurssitietojen avulla
Resurssitiedot lisäävät arvokasta kontekstia ja merkityksellisiä tietoja, jotka eivät ehkä näy pelkästään toimintolokeissa.
Kun esimerkiksi tutkit taulukon riskialttiita kirjautumisia SigninLogs , voit parantaa analyysia liittämällä sen EntraUsers taulukkoon sisältämään käyttäjäkohtaisia määritteitä, kuten osasto- ja palkkauspäivämäärän. Tämä ylimääräinen konteksti auttaa suojausryhmiä ymmärtämään paremmin käyttäjien toimintaa ja arvioimaan mahdollisia uhkia tarkemmin.
SigninLogs
| where IsRisky == true
| join kind=leftouter (
EntraUsers
| summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate
KQL-kyselyiden suorittaminen resurssitiedoilla
Jos haluat suorittaa KQL-kyselyjä Sentinel Data Lake -järjestelmän resurssitiedoilla, varmista, että teet kyselyjä oikean työtilan laajuudessa. Toimi seuraavasti:
Siirry Microsoft Sentinel-valikkoon Data Lake Exploration>KQL -kyselyt
Valitse Valittu työtila -painike.
Varmista, että Järjestelmätaulukot-työtila on valittuna.
Resurssin tietotaulukot näkyvät Kohde-luokassa:
Seuraavat vaiheet
- Lisätietoja tietojen tasoituksen vaihtoehdoista ja säilytysasetuksista on Taulukonhallinta-ohjeissa .
- Katso, miten resurssitiedot rikastuttavat Purview Data Risk -kaavioita.
- Tietojen tallennustilan Sentinel kyseleminen