Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les données de ressources dans la cybersécurité font référence aux entités physiques et numériques d’une organization, telles que les ordinateurs, les identités, les logiciels, les services cloud et les réseaux. Il montre ce qui existe afin que vous sachiez ce qui doit être protégé. Le lac de données de Microsoft Sentinel ajoute une valeur puissante en stockant ces données de ressources d’une manière évolutive et rentable qui prend en charge la conservation à long terme, l’analytique avancée et la détection des menaces basée sur l’IA. Avec une visibilité unifiée sur les systèmes et une gestion flexible des données, Sentinel lake aide les équipes de sécurité à comprendre leur environnement, à repérer les activités inhabituelles et à répondre aux menaces.
Comment l’ingestion des données de ressources est-elle activée dans Sentinel lac de données ?
Lorsque vous intégrez à Sentinel lake, les données de ressources sont automatiquement ingérées si vous disposez des autorisations appropriées. Pour plus d’informations, consultez Autorisations requises pour les sources de ressources.
Si vous ne disposez pas des autorisations suffisantes, des tables de ressources sont créées, mais aucune donnée n’est ingérée. Activez manuellement l’ingestion des données de ressources comme suit :
- Accédez à l’espace de travail Microsoft Sentinel dans le Portail Azure.
- Accédez à la page Connecteurs de données .
- Recherchez le connecteur de source de données de ressource approprié.
- Sélectionnez le connecteur et suivez les invites pour activer l’ingestion.
Les données de ressource sont ingérées uniquement dans le niveau de lac de données Microsoft Sentinel. Après l’intégration, les données des ressources peuvent prendre jusqu’à 24 heures pour arriver dans le lac.
Les données des ressources sont conservées pendant 30 jours par défaut. La rétention peut être étendue jusqu’à 12 ans. Pour plus d’informations sur la gestion de la rétention des tables, consultez la documentation gestion des tables.
Considérations relatives à la facturation
Les clients sont facturés pour l’ingestion des données de ressources.
Les clients encourent des frais pour la conservation des données de ressources.
Les captures instantanées de données des ressources sont prises une fois toutes les 24 heures.
Étant donné que l’ingestion des données de ressources est activée par défaut lors de l’intégration à Sentinel lac de données, il est important de comprendre le rôle fondamental des connecteurs de données de ressources Sentinel qui facilitent l’ingestion des données des ressources. Ces connecteurs de données sont chargés d’intégrer les données relatives aux ressources dans Sentinel lac de données et sont regroupés dans leurs packages de solution Sentinel respectifs. Vous pouvez découvrir et gérer ces solutions via le hub de contenu.
Autorisations requises pour les sources de ressources
Le tableau suivant décrit les différentes sources de données de ressources et leurs connecteurs de données :
| Source de données | Tables | Autorisation | Solution de connecteur de données |
|---|---|---|---|
| Azure Resource Graph (ARG) |
ARGResources ARGResourceContainers ARGAuthorizationResources |
Propriétaire de l’abonnement | Azure Resource Graph |
| Identifiant Microsoft Entra |
EntraApplications EntraGroupMemberships EntraGroups EntraMembers EntraOrganizations EntraServicePrincipals EntraUsers |
Aucun | Microsoft Entra ID ressource |
Remarque
Certains connecteurs de données, y compris, mais sans s’y limiter, les connecteurs de ressources, contribuent à la construction de graphiques de risque de données dans Purview. Si ces graphiques sont actifs, la désactivation des connecteurs associés interrompt leur génération. Les descriptions des connecteurs indiquent s’ils sont impliqués dans la création de graphiques de risque de données.
Configuration requise
Pour gérer les connecteurs de données de ressources, vous devez remplir les conditions préalables suivantes :
- Vérifiez que vous disposez de l’accès et des autorisations nécessaires pour Microsoft Sentinel, comme indiqué dans la colonne Autorisations de la table précédente.
- Recherchez la solution appropriée contenant le connecteur de données dans le hub de contenu. Le hub de contenu se trouve sous le menu Microsoft SentinelContent Hub de gestion de> contenu. Installez la solution si elle n’est pas déjà installée.
Configurer et gérer
Accédez à la page du connecteur de l’une des manières suivantes :
À partir de la solution installée :
- Sélectionnez Gérer.
- Sélectionnez le connecteur, puis ouvrir la page du connecteur
À partir de la galerie de connecteurs :
- La galerie de connecteurs se trouve sous le menu Microsoft SentinelConnecteurs de donnéesde configuration>
Pour modifier la période de rétention de la table, sélectionnez les trois points (...) à droite du nom de la table dans la grille de gestion de table. Sélectionnez une période de rétention pouvant aller jusqu’à 12 ans. Lorsque le connecteur de données de ressources affiche un status connecté, le texte du bouton bascule indique Déconnecter. Cela indique que l’ingestion est activée. Pour désactiver l’ingestion, sélectionnez le bouton Déconnecter . Une fois déconnecté, le connecteur status affiche Déconnecté et le texte du bouton bascule sur Connexion.
Utiliser les données de ressources pour enrichir les données d’activité
Les données de ressources ajoutent un contexte et des insights précieux qui peuvent ne pas être évidents à partir des seuls journaux d’activité.
Par exemple, lorsque vous examinez les connexions à risque dans la SigninLogs table, vous pouvez améliorer l’analyse en la joignant à la EntraUsers table pour inclure des attributs spécifiques à l’utilisateur, tels que le service et la date d’embauche. Ce contexte supplémentaire permet aux équipes de sécurité de mieux comprendre le comportement des utilisateurs et d’évaluer les menaces potentielles plus précisément.
SigninLogs
| where IsRisky == true
| join kind=leftouter (
EntraUsers
| summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate
Exécuter des requêtes KQL sur des données de ressources
Pour exécuter des requêtes KQL sur des données de ressources dans le lac de données Sentinel, vérifiez que vous effectuez des requêtes dans l’étendue correcte de l’espace de travail. Procédez comme suit :
Accédez au menu Microsoft SentinelRequêtes KQLd’exploration> de lac de données
Sélectionnez le bouton Espace de travail sélectionné .
Vérifiez que l’espace de travail Tables système est sélectionné.
Les tables de données de ressources sont affichées sous la catégorie Ressource :
Étapes suivantes
- Pour plus d’informations sur les options de hiérarchisation des données et les paramètres de rétention, consultez la documentation gestion des tables.
- Découvrez comment les données de ressources enrichissent les graphiques de risque des données Purview.
- Comment interroger Sentinel lac de données