Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel data lake è un data lake di sicurezza nativo del cloud che trasforma il modo in cui le organizzazioni gestiscono e analizzano i dati di sicurezza. Progettato come un vero data lake, inserisce, archivia e analizza grandi volumi di diversi dati di sicurezza su larga scala. Centralizzando i dati di sicurezza in un'unica piattaforma estensibile in formato aperto, offre visibilità approfondita, conservazione a lungo termine e analisi avanzata.
Il data lake consente di inserire tutti i dati di sicurezza in Microsoft Sentinel in modo conveniente, eliminando la necessità di scegliere tra copertura e costi. È possibile conservare più dati più a lungo, rilevare le minacce con maggiore contesto e profondità cronologica e rispondere più velocemente senza compromettere la sicurezza.
Il data lake Microsoft Sentinel è completamente gestito, quindi non è necessario distribuire o gestire l'infrastruttura dati. Fornisce una piattaforma dati unificata per l'analisi e la risposta end-to-end delle minacce. Archivia una singola copia dei dati di sicurezza tra asset, log attività e intelligence sulle minacce nel lake e sfrutta più strumenti di analisi come KQL e jupyter notebook per l'analisi approfondita della sicurezza.
Le soluzioni SIEM tradizionali sono in difficoltà con il costo e la complessità dell'archiviazione e dell'esecuzione di query sui dati di sicurezza a lungo termine. Microsoft Sentinel data lake risolve questi problemi nei modi seguenti:
- Unificazione dei dati di sicurezza tra Microsoft Defender XDR, origini e asset di terze parti, log attività e intelligence sulle minacce
- Ottimizzazione dei costi con archiviazione a livelli, promozione dei dati su richiesta e una singola copia dei dati
- Abilitazione di informazioni dettagliate sulla sicurezza con un massimo di 12 anni di dati di sicurezza e dati di telemetria, è possibile eseguire query e analizzare
- Potenziare l'intelligenza artificiale e l'automazione per un rilevamento e una risposta più veloci.
Con una singola copia di dati, usare KQL per eseguire query e notebook Jupyter con librerie Python sofisticate e strumenti di Machine Learning per eseguire analisi più approfondite per analisi forensi, risposta all'incidenza e rilevamento anomalie.
Architettura
Microsoft Sentinel data lake, basato sull'infrastruttura scalabile di Azure, facilita l'inserimento centralizzato, l'analisi e l'azione in diverse origini dati. L'architettura tecnica Microsoft Sentinel data lake include i vantaggi principali seguenti:
- Aprire i file di dati Parquet in formato aperto per l'interoperabilità e l'estendibilità
- Singola copia dei dati per un'archiviazione efficiente ed economica
- Separazione dell'archiviazione e del calcolo per una maggiore flessibilità
- Supporto per più motori di analisi per sbloccare informazioni dettagliate dai dati di sicurezza
- Integrazione nativa con Microsoft Sentinel SIEM e i relativi flussi di lavoro per le operazioni di sicurezza
Livelli di archiviazione
Microsoft Sentinel è progettato con due livelli di archiviazione distinti per ottimizzare i costi e le prestazioni:
- Livello di analisi: il livello dati Microsoft Sentinel esistente che supporta la ricerca avanzata, gli avvisi e la gestione degli eventi imprevisti per identificare e risolvere in modo proattivo i problemi nell'infrastruttura e nelle applicazioni. Questo livello è progettato per l'analisi ad alte prestazioni e l'elaborazione dei dati in tempo reale.
- Livello Data Lake: offre archiviazione centralizzata a lungo termine per l'esecuzione di query e l'analisi avanzata basata su Python. È progettato per la conservazione conveniente di grandi volumi di dati di sicurezza per un massimo di 12 anni. Il mirroring dei dati nel livello di analisi viene eseguito al livello lake, mantenendo una singola copia dei dati.
Per altre informazioni sui livelli dati e sulla conservazione, vedere Gestire i livelli dati e la conservazione nel portale di Microsoft Defender.
Origini dati supportate
Microsoft Sentinel data lake funziona con tutti i connettori dati Sentinel esistenti, tra cui:
- Tutte le origini dati Microsoft Defender e Microsoft Sentinel
- Microsoft 365
- Microsoft Entra ID
- Microsoft Resource Graph
- Piattaforme edr (Endpoint Detection and Response)
- Log del firewall e della rete
- Telemetria dell'infrastruttura cloud e del carico di lavoro
- Log di identità e accesso (Microsoft Entra, Okta e così via)
- Telemetria dns, proxy e posta elettronica
Query flessibili con Linguaggio di query Kusto
Le query KQL (Data Lake Exploration Linguaggio di query Kusto) consentono di scrivere ed eseguire query su risorse data lake. Usare l'editor di query per esplorare i dati, analizzare il lake e creare processi che promuovono i dati dal livello data lake al livello di analisi. Le query KQL offrono le funzionalità principali seguenti:
- Editor di query KQL: fornisce la modifica e l'esecuzione di query KQL con IntelliSense e completamento automatico.
- Supporto completo per KQL: usare l'intera gamma di funzionalità KQL, incluse le funzioni di Machine Learning e l'analisi avanzata.
- Creazione di processi: creare processi una tantum o pianificati per promuovere i dati dal lake al livello di analisi.
Per altre informazioni, vedere KQL e il data lake Microsoft Sentinel.
Analisi avanzata con notebook di Jupyter
I notebook di Jupyter nel data lake Microsoft Sentinel offrono un ambiente potente per l'analisi dei dati e l'apprendimento automatico. Usare le librerie Python per compilare ed eseguire modelli di Machine Learning, eseguire analisi avanzate e visualizzare i dati. I notebook supportano visualizzazioni avanzate, consentendo di ottenere informazioni dettagliate dai dati di sicurezza. Pianificare i notebook per riepilogare regolarmente i dati, eseguire modelli di Machine Learning e promuovere i dati dal livello data lake al livello di analisi.
Per altre informazioni, vedere Notebook di Jupyter nel data lake Microsoft Sentinel.
Controllo attività
Il data lake Microsoft Sentinel fornisce il controllo che tiene traccia delle attività nel lago. Il log di controllo acquisisce l'accesso ai dati, la gestione dei processi e gli eventi di query, consentendo di monitorare e analizzare l'attività.
Alcune delle attività controllate sono:
- Accesso ai dati in Lake con query KQL
- Esecuzione di notebook nel data lake
- Creare, modificare, eseguire ed eliminare processi
Il controllo è abilitato per impostazione predefinita per il data lake Microsoft Sentinel. Le azioni controllate vengono visualizzate nel log di controllo.
Per altre informazioni sulle attività del data lake controllate, vedere Log di controllo per Microsoft Sentinel data lake.
Aree geografiche supportate
Vedere Aree supportate per Microsoft Sentinel data lake per le aree supportate.
Per iniziare
Per iniziare a usare Microsoft Sentinel data lake, seguire questa procedura nella guida all'onboarding. Per altre informazioni sull'uso del data lake Microsoft Sentinel, vedere gli articoli seguenti: