Tietojen muuntaminen suodattimen avulla ja jakaminen Microsoft Sentinel

Suojaustietojen määrän kasvaessa organisaatioilla on haaste tasapainottaa tekoälyyn, vaatimustenmukaisuuteen ja tutkintaan käytetyn telemetrian kustannustehokas säilytys ja samalla varmistaa, että vain tarvittavat tiedot säilytetään korkean suorituskyvyn tallennustasoilla. Voit vastata tähän haasteeseen käyttämällä Microsoft Sentinel suodatus- ja jakotietojen muunnoksia muokkaamalla tietoja käsittelyhetkellä tietojen säilytysstrategian optimoimiseksi.

Tässä artikkelissa kuvataan, miten voit määrittää suodatuksen ja jaetun tiedon muunnokset ilman, että sinun tarvitsee luoda manuaalisesti mukautettuja tiedonkeräyssäännön (DCR) määrityksiä. Räätälöimällä tietojen käsittely, nämä muunnokset parantavat suorituskykyä ja vähentävät melua.

Käyttämällä tietojen muunnoksia voit optimoida suojaustietoputken hallitsemalla, mitä tietoja tallennetaan ja mihin tasoon. Suodattimen ja jaetun muunnoksen käyttäminen tarjoaa seuraavat edut:

  • Kustannusten optimointi: Vähennä tallennus- ja käsittelykustannuksia suodattamalla pois vähäarvoiset tiedot, jotka eivät edistä uhkien havaitsemista. Reititä vähemmän usein käytettyjä tietoja kustannustehokkaaseen Data Lake -tallennustilaan säilyttäen samalla tärkeät tiedot Analytiikka-tasolla.

  • Parannettu SOC-tehokkuus: Keskitä suojaustoimintokeskuksesi (SOC) toiminnallisiin, arvokkaisiin tapahtumiin. Poistamalla melua käsittelyaikana analyytikot käyttävät vähemmän aikaa epäolennaisiin lokeihin selaamiseen ja enemmän aikaa todellisten uhkien tutkimiseen.

  • Nopeampi kyselyn suorituskyky: Pienemmät tietojoukot Analytiikka-tasolla nopeuttavat kyselyn suoritusaikoja. Tämä parannus tekee uhkien metsästyksestä, tapaustutkimuksista ja analytiikkasäännöistä paremmin reagoivia.

  • Vaatimustenmukaisuus ja säilytysjousto: Ylläpidä kattavaa tietojen säilytystä sääntelytarkastuksia ja rikosteknistä analyysia varten Data Lake -tasolla optimoiden samalla Analytiikka-tason toiminnallisille kuormituksille. Tämä lähestymistapa täyttää yhteensopivuusvaatimukset suorituskyvyn uhraamatta.

  • Skaalattava tiedonhallinta: Kun organisaatiosi tietomäärät kasvavat, muunnokset auttavat sinua hallitsemaan kustannuksia ja suorituskykyä. Käytä yhdenmukaisia käytäntöjä kaikissa taulukoissa ennustettavan tiedonhallinnan varmistamiseksi.

Suodattimet ja jaetut muunnokset ovat ensimmäinen vaihe suuremmassa muunnoskehyksessä, jonka avulla voit kehittää tietojasi tarpeidesi mukaan. Lisätietoja tietojen muunnoskäsitteistä on kohdassa Mukautettujen tietojen käsittely ja muuntaminen Microsoft Sentinel.

Ennakkovaatimukset

Ennen kuin määrität suodatinsäännöt tai jaetut muunnossäännöt, tarkista seuraavat vaatimukset:

  • Microsoft Sentinel työtila on siirrettävä Defender-portaaliin. Lisätietoja on artikkelissa Microsoft Sentinel yhdistäminen Microsoft Defender portaaliin.

  • Microsoft Defender portaalissa, jossa on yhdistetty roolipohjainen käytönvalvonta (RBAC), tietojen käyttöoikeudet (hallitse)Tietotoimintojen käyttöoikeudet -ryhmässä.

  • Tarvitset seuraavat käyttöoikeudet Microsoft Sentinel työtilaan:

  • Log Analytics Contributor -rooli, jonka haluat tarjota:

    • Microsoft.OperationalInsights/workspaces/write
    • Microsoft.OperationalInsights/työtilat/taulukot/kirjoitusoikeudet Log Analytics -työtilaan.

Tuetut taulukot

Suodatin- ja jakomuunnoksilla on erilaiset taulukon tukivaatimukset:

  • Suodatus: Tuetaan kaikissa taulukoissa, jotka tukevat tiedonkeruusääntöjä (DCR-pyyntöjä).
  • Jakaminen: Tuetaan kaikissa taulukoissa, jotka tukevat vain analytiikkakäsittelyä, Vain Data Lake -tietojen käsittely ja tiedonkeruusäännöt (DCR).

Jos haluat tarkistaa, tukevatko liittimen taulukot dcr-pyyntöjä, lue ohjeartikkeli Microsoft Sentinel tietoliittimen etsiminen.

Suodata muunnokset

Suodatinmuunnosten avulla voit vähentää melua hylkäämällä tietoja tietojen käsittelystä, mikä ei ole hyödyllistä tutkimuksissa. Suodattimen muunnossäännön avulla voit määrittää KQL-ehdon, joka määrittää, mitkä tiedot suodatetaan pois, ja jäljellä olevat tiedot lähetetään Analytiikka-tasolle.

Käytä suodatinmuunnoksia, kun haluat:

  • Melun vähentäminen: Keskitä SOC:si toiminnallisiin tapahtumiin suodattamalla pois rutiini, vähäisen vakavuusasteen lokit, kuten palomuurilokien sallimistapahtumat.
  • Optimoi kustannukset: Pienennä tallennus- ja käsittelykustannuksia hylkäämällä tiedot, jotka eivät edistä uhkien havaitsemista.
  • Suorituskyvyn parantaminen: Nopeuta kyselyitä ja virtaviivaista analytiikkaa vähentämällä tallennettujen tietojen määrää.

Otetaan esimerkiksi suodatinmuunnos:

Yrityksesi tunnistaa poikkeavuudet palomuurilokeilla. Useimmat palomuurilokit ovat rutiininomaisia "salli" tapahtumia, joiden vakavuus on pieni ja jotka eivät edistä uhkien havaitsemista. Jos haluat säilyttää vain kriittisiä tapahtumia, kuten estettyä liikennettä tai suurta vakavuutta, ja suodattaa pois vähäarvoiset lokit, luo suodattimen muunnossääntö KQL-ehdolla, jos haluat lähettää vain keskikokoisia tai suuren vakavuusasteen tietoja, joita ei sallita -tapahtumat Analytiikka-tasolle.

Jaa muunnokset

Jaettujen muunnosten avulla voit reitittää tietoja Analytiikka-tason ja Data Lake -tason välillä määritettyjen ehtojen mukaan. Jaetun muunnossäännön avulla voit määrittää KQL-lausekkeen, joka määrittää, mitkä tiedot saapuvat Analyticsiin. Tiedot, jotka eivät vastaa lauseketta, reititetään vain Data Lake -tasolle.

Huomautus

Kun määrität jaetun muunnoksen, Analytiikka-tasolle määritetyt tiedot peilataan myös Data Lake -tasolle. Tiedot, jotka eivät vastaa Analytiikka-ehtoja, menevät vain Data Lake -tasolle. Tämä määritys varmistaa, että kaikki tietosi ovat edelleen käytettävissä Data Lake -järjestelmässä pitkän aikavälin säilytys- ja yhteensopivuustarkoituksia varten.

Käytä jaettuja muunnoksia, kun haluat tasapainottaa kustannuksia ja suorituskykyä reitittämällä tiedot sopivalle tallennustasolle:

  • Optimoi tallennuskustannukset: Reititä vanhemmat tai harvemmin käytettävät lokit Data Lake -tasolle kustannustehokasta pitkäaikaista varastointia varten.
  • Ylläpidä suorituskykyä: Pidä viimeisimmät lokit Analytiikka-tasolla, jotta kyselyt ovat nopeampia aktiivisen uhkien metsästyksen aikana.
  • Vaatimustenmukaisuusvaatimusten täyttäminen: Säilytä historialliset lokit lakisääteisiä auditointeja ja rikosteknistä analyysia varten toiminnallisen ketteryyden uhraamatta.

Otetaan esimerkiksi jaetun muunnoksen esimerkki:

Yrityksesi käyttää miljoonia palomuurilokeja päivittäin uhkien havaitsemiseksi ja noudattamiseksi. SOC-tiimisi tarvitsee reaaliaikaisen pääsyn viimeisimpiin lokeihin aktiivista tutkintaa varten, mutta sen on myös säilytettävä historialliset lokit lakisääteisiä auditointeja varten. Luo jaettu muunnossääntö, joka ohjaa reaaliaikaiset tiedot Analytiikka-tasolle ja historialliset tiedot Data Lake -tasolle.

Tärkeää

Microsoft Sentinel luomasi muunnokset voivat olla ristiriidassa Azure Monitorissa dcr-toiminnolla luotujen muunnosten kanssa. Jos esimerkiksi DCR on jo käytössä taulukossa, jossa kaikki paitsi tietty alue suodatetaan ja suodatinta käytetään, joka suodattaa vain kyseisen alueen pois, mitään tietoja ei käsitellä. Varmista, että ymmärrät ja tarkistat taulukolle määritetyn TASAVIRTA-asetuksen ja muunnoksen yhdistetyt vaikutukset.

Suodattimen muunnossääntöjen määrittäminen

Voit luoda suodattimen muunnossäännön seuraavasti:

  1. Siirry Microsoft Defender portaalissa kohtaan Microsoft Sentinel>Määritystaulukot>.

  2. Valitse taulukko. Valitse sivupaneelista Suodatinsääntö.

    Näyttökuva, joka näyttää taulukon ominaisuudet Microsoft Sentinel.

  3. Kirjoita sivupaneeliin Säännön nimi.

  4. Kirjoita Ehto-kenttään KQL-lauseke, joka määrittää suodatettavat tiedot. KQL-lausekkeen arvon tulee olla tosi tiedoille, joita et halua käyttää.

  5. Ota suodatin käyttöön määrittämällä säännön tilaksiKäytössä .

    Tärkeää

    Suodattaa tiedot pois. Suodatinehtoa vastaavat tiedot hylätään, eikä niitä käytetä Analytics- tai Data Lake -tasoille. Varmista, että KQL-lausekkeesi tallentaa tarkasti tiedot, jotka haluat jättää pois.

  6. Jos haluat lisätä toisen ehdon, valitse Lisää ehto ja kirjoita uusi KQL-lauseke tietojen suodattamiseksi pois. Useat ehdot yhdistetään loogiseen OR:iin, joten ehtoja vastaavat tiedot suodatetaan pois.

  7. Käytä sääntöä valitsemalla Tallenna .

  8. Varmista, että suodatinsääntöä käytetään, tarkistamalla taulukon Muunnossäännöt-sarake . Sarake näyttää suodattimen , kun suodatinsääntö on aktiivinen.

    Näyttökuva, jossa näkyy Microsoft Sentinel taulukkoluettelossa käytetty suodatinsääntö.

Jaetun muunnossäännön määrittäminen

Voit luoda jaetun muunnossäännön seuraavasti:

  1. Siirry Defender-portaalissa kohtaan Microsoft Sentinel>Määritystaulukot>.

  2. Valitse taulukko ja valitse sitten Jaa sääntö.

  3. Kirjoita sivupaneeliin Säännön nimi.

  4. Syötä KQL-lausekekenttään KQL-lauseke, joka määrittää, mitä tietoja analytiikkatasolle otetaan käyttöön. Tietoja, jotka eivät vastaa tätä lauseketta, käytetään Data Lake -tasolla.

  5. Käytä sääntöä valitsemalla Tallenna .

  6. Varmista, että jaettu sääntö on käytössä, tarkistamalla taulukon Muunnossäännöt-sarake . Sarake näyttää Jaa-kohdan , kun jaettu sääntö on aktiivinen.

Huomautus

Data Lake -tasoon sisään otetut jaetut tiedot siirtyvät erilliseen taulukkoon, jolla on sama nimi kuin alkuperäisellä taulukolla, mutta jonka jälkiliite on "_SPLT". Jos esimerkiksi käytät jaettua sääntöä FirewallLogs-taulukossa, Data Lake -tasolle reititetyt tiedot käsitellään erilliseen "FirewallLogs_SPLT"-taulukkoon. Tämän määrityksen avulla voit hallita Analytics- ja Data Lake -tasojen säilytys- ja käyttöoikeuskäytäntöjä erikseen.

Näyttökuva, joka näyttää taulukkoluettelossa käytetyn jaetun säännön Microsoft Sentinel.

Määritä jaettujen taulukoiden säilytys

Kun olet luonut jaetun säännön, määritä kunkin tason säilytysasetukset:

  1. Tarkastele alkuperäisen taulukon alla tuloksena syntyviä Analytics - ja Data Lake -taulukoita.

  2. Jos haluat määrittää säilytyksen, valitse Analytiikka- tai Data Lake -taulukko.

  3. Valitse Tietojen säilytysasetukset.

  4. Määritä säilytysaika ja tallenna.

Vaihtoehtoisesti voit valita alkuperäisen taulukon ja määrittää sekä Analytics- että Data Lake -säilytyksen tietojen säilytysasetusten yhdistelmävalintaikkunasta.

Näyttökuva, joka näyttää jaettujen taulukoiden säilytysasetukset Microsoft Sentinel.

Hallitse sääntöjä

Jos haluat hallita olemassa olevia sääntöjä, valitse taulukko ja valitse sitten joko Jaa sääntö tai Suodatinsääntö sen mukaan, mitä sääntötyyppiä haluat hallita.

  • Jos haluat poistaa säännön käytöstä, poista sääntö käytöstä valitsemalla Säännön tila -valitsin ja valitse sitten Tallenna.
  • Poista sääntö valitsemalla Poista.

Tarkista säännöt suorittamalla KQL-kyselyitä varmistaaksesi, että tiedot on otettu oikein ja reititetty oikeaan tasoon.

Tunnetut rajoitukset

Ota huomioon seuraavat rajoitukset käytettäessä suodatin- ja jakomuunnoksia:

  • XDR-taulukon näkyvyys: XDR-taulukoissa käytetyt jako- ja suodatinmuunnokset eivät näy kehittyneessä metsästyksessä tietojen ensimmäisten 30 päivän aikana. Muunnoksia sovelletaan, ja kun tiedot vanhenevat yli 30 ensimmäisen päivän, ne toimivat normaalisti kehittyneessä metsästyksessä. Log Analyticsista tai Microsoft Sentinel lähetetyt tiedot vastaavat välittömästi kustannussäästöjä.

  • Välitysviive: Muunnosten voimaantulo voi kestää jopa tunnin.

  • Taulukkotuki: Vain taulukot, jotka tukevat tietojen keräämisen sääntöjä (DCR) tukevat jako- ja suodatusmuunnoksia.

Aiheeseen liittyvä sisältö

  • Last updated on