Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avec Microsoft Sentinel lac de données, vous pouvez stocker et analyser des journaux à volume élevé et de faible fidélité, comme des données de pare-feu ou DNS, des inventaires de ressources et des enregistrements historiques pendant 12 ans maximum. Étant donné que le stockage et le calcul sont découplés, vous pouvez interroger la même copie de données à l’aide de plusieurs outils, sans la déplacer ni la dupliquer.
Vous pouvez explorer les données dans le lac de données à l’aide de Langage de requête Kusto (KQL) et de notebooks Jupyter, pour prendre en charge un large éventail de scénarios, de la chasse aux menaces et des enquêtes, en passant par l’enrichissement et l’apprentissage automatique.
Cet article présente les principaux concepts et scénarios de l’exploration de lac de données, met en évidence les cas d’usage courants et explique comment interagir avec vos données à l’aide d’outils familiers.
Requêtes interactives KQL
Utilisez Langage de requête Kusto (KQL) pour exécuter des requêtes interactives directement sur le lac de données sur plusieurs espaces de travail.
À l’aide de KQL, les analystes peuvent :
- Examiner et répondre à l’aide de données historiques : utilisez des données à long terme dans le lac de données pour collecter des preuves d’investigation, examiner un incident, détecter des modèles et répondre aux incidents.
- Enrichir les investigations avec des journaux à volume élevé : tirez parti des données bruyantes ou de faible fidélité stockées dans le lac de données pour ajouter du contexte et de la profondeur aux investigations de sécurité.
- Mettre en corrélation les données des ressources et des journaux dans le lac de données : interrogez les inventaires de ressources et les journaux d’identité pour connecter l’activité des utilisateurs aux ressources et découvrir des attaques plus larges.
Utilisez des requêtes KQL sous Microsoft Sentinel>Exploration du lac de données dans le portail Defender pour exécuter des requêtes KQL interactives ad hoc directement sur des données à long terme. L’exploration du lac de données est disponible une fois le processus d’intégration terminé. Les requêtes KQL sont idéales pour les analystes SOC qui examinent les incidents où les données peuvent ne plus résider dans le niveau analytique. Les requêtes permettent l’analyse forensique à l’aide de requêtes familières sans réécrire le code. Pour bien démarrer avec les requêtes KQL, consultez Exploration de lac de données - Requêtes KQL.
Travaux KQL
Les travaux KQL sont des requêtes KQL asynchrones ponctuelles ou planifiées sur des données dans le lac de données Microsoft Sentinel. Les travaux sont utiles pour les scénarios d’investigation et d’analyse, par exemple ;
- Requêtes ponctuelles de longue durée pour les enquêtes sur les incidents et la réponse aux incidents (IR)
- Tâches d’agrégation de données qui prennent en charge les flux de travail d’enrichissement à l’aide de journaux de faible fidélité
- Analyses de correspondance de renseignement sur les menaces historiques (TI) pour l’analyse rétrospective
- Analyses de détection d’anomalies qui identifient des modèles inhabituels sur plusieurs tables
- Promouvoir les données du lac de données vers le niveau analytique pour activer l’investigation des incidents ou la corrélation des journaux.
Exécutez des travaux KQL à usage unique sur le lac de données pour promouvoir des données historiques spécifiques du niveau data lake vers le niveau analytique, ou créez des tables récapitulatives personnalisées dans le niveau Data Lake. La promotion des données est utile pour l’analyse de la cause racine ou la détection zero-day lors de l’examen des incidents qui s’étendent au-delà de la fenêtre du niveau Analytique. Soumettez un travail planifié sur data lake pour automatiser les requêtes périodiques afin de détecter les anomalies ou de générer des bases de référence à l’aide de données d’historique. Les chasseurs de menaces peuvent l’utiliser pour surveiller les modèles inhabituels au fil du temps et alimenter les résultats dans des détections ou des tableaux de bord. Pour plus d’informations, consultez Créer des travaux dans le lac de données Microsoft Sentinel et Gérer des travaux dans le lac de données Microsoft Sentinel.
Visualiser des données dans Microsoft Sentinel lac de données à l’aide de classeurs
Vous pouvez utiliser Microsoft Sentinel classeurs pour visualiser et surveiller les données dans le lac de données Microsoft Sentinel. En sélectionnant Sentinel lac de données comme source de données dans un classeur, vous pouvez exécuter des requêtes KQL directement sur le lac de données et afficher les résultats sous forme de graphiques et de tables interactifs. Cela vous permet de créer des tableaux de bord et des rapports qui tirent parti des données de télémétrie à long terme et à volume élevé stockées dans le lac de données, ce qui le rend idéal pour la chasse aux menaces avancées, l’analyse des tendances et les rapports exécutifs. Pour plus d’informations sur la création de classeurs avec Sentinel data lake, consultez Visualiser des données dans Microsoft Sentinel lac de données à l’aide de classeurs.
Scénarios d’exploration
Les scénarios suivants illustrent comment les requêtes KQL dans le lac de données Microsoft Sentinel peuvent être utilisées pour améliorer les opérations de sécurité :
| Scénario | Détails | Exemple |
|---|---|---|
| Examiner les incidents de sécurité à l’aide de données historiques à long terme | Les équipes de sécurité doivent souvent aller au-delà de la fenêtre de rétention par défaut pour découvrir l’étendue complète d’un incident. | Un analyste SOC de niveau 3 qui examine une attaque par force brute utilise des requêtes KQL sur le lac de données pour interroger les données datant de plus de 90 jours. Après avoir identifié les activités suspectes d’il y a plus d’un an, l’analyste promeut les résultats au niveau analytique pour une analyse plus approfondie et une corrélation des incidents. |
| Détecter les anomalies et créer des bases de référence comportementales au fil du temps | Les ingénieurs de détection s’appuient sur les données historiques pour établir des bases de référence et identifier les modèles susceptibles d’indiquer un comportement malveillant. | Un ingénieur détection analyse les journaux de connexion sur plusieurs mois pour détecter les pics d’activité. En planifiant un travail KQL dans le lac de données, ils créent une base de référence de série chronologique et découvrent un modèle cohérent avec l’utilisation abusive des informations d’identification. |
| Enrichir les investigations à l’aide de journaux à volume élevé et de faible fidélité | Certains journaux sont trop bruyants ou volumineux pour le niveau analytique, mais ils sont toujours utiles pour l’analyse contextuelle. | Les analystes SOC utilisent KQL pour interroger les journaux réseau et de pare-feu stockés uniquement dans le lac de données. Ces journaux, même s’ils ne sont pas dans le niveau analytique, aident à valider les alertes et fournissent des preuves à l’appui pendant les investigations. |
| Répondre aux menaces émergentes avec une hiérarchisation des données flexible | Lorsque de nouvelles informations sur les menaces apparaissent, les analystes doivent accéder rapidement aux données historiques et agir sur ces données. | Un analyste du renseignement sur les menaces réagit à un rapport d’analyse des menaces récemment publié en exécutant les requêtes KQL suggérées dans le lac de données. Lors de la découverte de l’activité pertinente d’il y a plusieurs mois, le journal requis est promu dans le niveau analytique. Pour activer la détection en temps réel pour les détections futures, les stratégies de hiérarchisation peuvent être ajustées sur les tables pertinentes pour miroir journaux les plus récents au niveau analytique. |
| Explorer les données de ressources provenant de sources autres que les journaux de sécurité traditionnels | Enrichissez l’investigation à l’aide de l’inventaire des ressources telles que les objets Microsoft Entra ID et les ressources Azure. | Les analystes peuvent utiliser KQL pour interroger les informations sur l’identité et les ressources, telles que les Microsoft Entra ID utilisateurs, les applications, les groupes ou les inventaires de ressources Azure, afin de mettre en corrélation les journaux pour un contexte plus large qui complète les données de sécurité existantes. |