Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Defenderiin yhdistetyissä Microsoft Sentinel työtiloissa tasoituksen ja säilytyksen hallinta on tehtävä Defender-portaalin uudesta taulukonhallintakokemuksesta. Jos kyseessä on irrallinen Microsoft Sentinel työtila, jatka alla kuvattujen käyttökokemusten käyttämistä työtilojen tietojen hallintaan.
Lokien keräämisessä ja säilyttämisessä on kaksi kilpailevaa näkökohtaa, jotka ovat kriittisiä onnistuneelle uhkien havaitsemisohjelmalle. Toisaalta haluat maksimoida keräämienne lokilähteiden määrän, jotta saat mahdollisimman kattavan suojauksen. Toisaalta sinun on minimoitava kustannukset, jotka aiheutuvat kaikkien tietojen käsittelystä.
Nämä kilpailevat tarpeet edellyttävät lokinhallintastrategiaa, joka tasapainottaa tietojen helppokäyttöisyyden, kyselyn suorituskyvyn ja tallennuskustannukset.
Tässä artikkelissa käsitellään tietoluokkia ja säilytystiloja, joita käytetään tietojen tallentamiseen ja käyttämiseen. Siinä kuvataan myös lokitasot, Microsoft Sentinel tarjoaa lokien hallinta- ja säilytysstrategian luomiseen.
Tärkeää
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.
Tietojen käsittelyluokat
Microsoft suosittelee, että Microsoft Sentinel sisäänotetut tiedot luokitellaan kahteen yleiseen luokkaan:
Ensisijaiset suojaustiedot ovat tietoja, jotka sisältävät kriittisen suojausarvon. Näitä tietoja käytetään reaaliaikaiseen ennakoivaan valvontaan, ajoitettuihin hälytyksiin ja analytiikkaan tietoturvauhkien havaitsemiseksi. Tietojen on oltava helposti saatavilla kaikille Microsoft Sentinel käyttökokemuksille lähes reaaliajassa.
Toissijaiset suojaustiedot ovat täydentäviä tietoja, jotka ovat usein suuren volyymin yksityiskohtaisissa lokeissa. Näiden tietojen suojausarvo on rajallinen, mutta ne voivat lisätä tunnistusten ja tutkimusten rikkautta ja kontekstia, mikä auttaa piirtämään koko kuvan suojaustapauksesta. Sen ei tarvitse olla helposti saatavilla, mutta sen pitäisi olla käytettävissä tarvittaessa ja sopivina annoksina.
Ensisijaiset suojaustiedot
Tämä luokka koostuu lokeista, jotka sisältävät organisaatiosi kriittisen suojausarvon. Suojaustoimintojen ensisijaisia suojaustietojen käyttötapauksia ovat seuraavat:
Valvonta on toistuvaa. Uhkien tunnistamisen (analytiikan) sääntöjä suoritetaan näissä tiedoissa usein tai lähes reaaliaikaisesti.
Metsästystä pyydettäessä. Tiedoille suoritetaan monimutkaisia kyselyitä, joiden avulla suoritetaan vuorovaikutteinen ja suorituskykyinen suojausuhkien metsästys.
Korrelaatio. Näistä lähteistä peräisin olevat tiedot korreloivat muista ensisijaisista suojaustietolähteistä peräisin oleviin tietoihin uhkien havaitsemiseksi ja hyökkäysjuttujen laatimiseksi.
Säännöllinen raportointi. Näistä lähteistä peräisin olevat tiedot ovat helposti saatavilla organisaation tietoturvan kuntoa koskevien säännöllisten raporttien laatimiseen sekä tietoturvan että yleisten päätöksentekijöiden kannalta.
Toiminta-analytiikka. Näiden lähteiden tietojen avulla luodaan perustason toimintaprofiileja käyttäjille ja laitteille, jotta voit tunnistaa poikkeavat toimintatapasi epäilyttäviksi.
Ensisijaisia tietolähteitä ovat esimerkiksi seuraavat:
- Lokit virustentorjunta- tai yrityksen tunnistamis- ja vastausjärjestelmistä (EDR)
- Todennuslokit
- Jäljityspolut pilvipalveluympäristöistä
- Uhkien tiedustelusyötteet
- Ilmoitukset ulkoisista järjestelmistä
Ensisijaiset suojaustiedot sisältävät lokit on tallennettava käyttämällä analytiikkatasoa.
Toissijaiset suojaustiedot
Tämä luokka sisältää lokit, joiden yksilöllinen suojausarvo on rajoitettu, mutta jotka ovat välttämättömiä kattavan näkymän tarjoamiseksi tietoturvatapauksesta tai tietomurrosta. Yleensä nämä lokit ovat erittäin suuria, ja ne voivat olla yksityiskohtaisia. Näiden tietojen suojaustoimintojen käyttötapauksia ovat seuraavat:
Uhkien älykkyys. Ensisijaiset tiedot voidaan tarkistaa kompromissi-indikaattorien (IoC) tai hyökkäysilmaisimien (IoA) luettelosta uhkien nopeaan ja helppoon havaitsemiseen.
Ad-hoc-metsästys/tutkimukset. Tietoihin voidaan tehdä vuorovaikutteisia kyselyjä 30 päivän ajan, mikä helpottaa uhkien metsästyksen ja tutkimusten ratkaisevaa analysointia.
Laajat haut. Tietoja voidaan käyttää ja hakea taustalla petatavuasteikolla, mutta ne tallennetaan tehokkaasti mahdollisimman pienellä käsittelyllä.
Yhteenveto KQL-töiden kautta. Tee yhteenveto suuren volyymin lokeista koostetietoihin ja tallenna tulokset analytiikkatasolle.
Toissijaisia tietolokilähteitä ovat esimerkiksi pilvitallennuslokit, NetFlow-lokit, TLS/SSL-varmennelokit, palomuurilokit, välityspalvelimen lokit ja IoT-lokit.
Toissijaisia suojaustietoja sisältävissä lokeissa käytetään Microsoft Sentinel Data Lakea, joka on suunniteltu tarjoamaan parannettu skaalautuvuus, joustavuus ja integrointiominaisuudet kehittyneitä suojaus- ja yhteensopivuusskenaarioita varten.
Lokinhallintatasot
Microsoft Sentinel tarjoaa kaksi eri lokitallennustasoa eli -tyyppiä näiden käytettyjen tietojen luokkien tarpeisiin.
Analytiikkatason suunnitelma on suunniteltu tallentamaan ensisijaiset suojaustiedot ja tekemään siitä helposti ja jatkuvasti käytettävissä korkealla suorituskyvyllä.
Data Lake -taso on optimoitu toissijaisten suojaustietojen kustannustehokkaasti pitkäksi aikaa säilyttäen samalla käytettävyys.
Analytiikkataso
Analytiikkataso säilyttää tiedot oletusarvoisesti vuorovaikutteisessa säilytystilassa90 päivää, laajennettavissa enintään kahden vuoden ajan. Tämä vuorovaikutteinen tila on kallis, mutta sen avulla voit kysellä tietojasi rajoittamattomasti suurella suorituskyvyllä ilman kyselykohtaista maksua.
Data Lake -taso
Microsoft Sentinel Data Lake on täysin hallittu, nykyaikainen Data Lake -tallennustila, joka yhdistää ja säilyttää suojaustietoja suuressa mittakaavassa ja mahdollistaa kehittyneen analysoinnin useissa modaliteettien välillä ja tekoälyn agenttikäyttöisen uhkien tunnistamisen. Se antaa tietoturvatiimeille mahdollisuuden tutkia pitkän aikavälin uhkia, täydentää ilmoituksia ja luoda käyttäytymisen perusaikatauluja kuukausien tietojen avulla.
Kun kokonaispidätys on määritetty pidemmäksi kuin analytiikkatason säilytysaika tai kun analysointitason säilytysaika päättyy, analytiikkatason säilytyksen ulkopuolelle tallennetut tiedot ovat edelleen käytettävissä Data Lake -tasolla.
Aiheeseen liittyvä sisältö
- Lisätietoja Microsoft Sentinel Data Lakesta on kohdassa Microsoft Sentinel Data Lake.
- Jos haluat Microsoft Sentinel Data Lake -tallennustilan, katso Data Lake -Microsoft Sentinel varten nopeutettavat tiedot.