Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Dataforbund i Microsoft Sentinel muliggjør sømløs spørring av flere eksterne datakilder fra det Microsoft Sentinel datasjømiljøet. Ved å samle datakilder som Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 og Microsoft Fabric, kan organisasjoner forbedre sikkerhetsanalysen og driftsinnsikten uten å flytte eller duplisere data.
Hva er dataforbund?
Med dataforbund kan du spørre eksterne datakilder direkte fra Microsoft Sentinel datasjøen ved hjelp av Kusto Query Language (KQL) eller Jupyter-notatblokker ved hjelp av Microsoft Sentinel Visual Studio Code-utvidelsen. I stedet for å ta inn dataene i Sentinel oppretter forbund tilkoblinger til eksterne datalagre, slik at:
- Enhetlig analyse: Spørringsbaserte kilder sammen med opprinnelige datasjøtabeller Microsoft Sentinel.
- Behold styrings- og samsvarskontroller: Vedlikehold datasikkerhet og forskriftssamsvar ved å spørre etter data på plass uten å flytte dem.
- Forbedret innsikt: Kombiner sikkerhetsdata med forretningsdata, logger eller andre datasett som er lagret i eksterne systemer.
- Fleksibel datatilgang: Få tilgang til historiske eller spesialiserte datasett som utfyller sikkerhetsoperasjonene dine.
Viktig
Dataforbundet er enveis fra Sentinel datasjøen til målet i forbund. Du kan spørre etter en samlet kilde fra datasjøen, men du får ikke tilgang til datasjøen fra en samlet kilde.
Tilgjengelige forbundskilder
Følgende forbundskilder er tilgjengelige:
| Kilde | Beskrivelse |
|---|---|
| Azure Databricks | Koble til Databricks Unity Catalog-tabeller og spørre etter data fra Sentinel. |
| Azure Data Lake Storage Gen 2 | Spørringsdata lagret i ADLS Gen 2-lagringskontoer direkte fra Sentinel datasjøen. |
| Microsoft Fabric | Koble til Microsoft Fabric Lakehouse-tabeller for integrert analyse. |
Nøkkelkonsepter
Forbundstilkoblinger
En samlet tilkobling er en konfigurert kobling mellom Sentinel datasjøen og en ekstern datakilde. Hver tilkobling angir:
- Måldatakilden (Databricks, ADLS Gen 2 eller Fabric).
- Godkjenningslegitimasjon lagret sikkert i Azure Key Vault for ADLS og Azure Databricks.
- De spesifikke tabellene som skal samles.
Tabeller i organisasjonsforbund
Tabeller i organisasjonsforbund er tabeller som kommer fra en forbundstilkobling. Tabeller i organisasjonsforbund vises på siden Sentinel tabellbehandling for datasjøen og kan spørres som opprinnelige tabeller. Tabellnavn i organisasjonsforbund følger mønsteret <tableName>_<connectorInstanceName>. Hvis for eksempel koblingsforekomsten er navngitt ADLS01 og du i forbund med en tabell kalt widgets, er widgets_ADLS01tabellnavnet i forbund .
Koblingsforekomster
Hver konfigurerte tilkobling til en ekstern datakilde kalles en koblingsforekomst. Du kan opprette flere forekomster for samme kildetype for forbund, hver tilkobling til ulike eksterne ressurser.
Forutsetninger
Før du konfigurerer dataforbund, må du sørge for at du oppfyller følgende krav:
- Sentinel data lake onboarding: Leieren må være koblet til Sentinel datasjøen. Hvis du vil ha mer informasjon, kan du se Onboard for å Microsoft Sentinel datasjøen.
- Offentlig tilgjengelighet: Den eksterne kilden må være offentlig tilgjengelig. Private endepunkter støttes for øyeblikket ikke.
- Tjenestekontohaver: En tjenestekontohaver med riktige tillatelser i datakilden du vil koble til, kreves for Azure Databricks og Azure Data Lake Storage Gen2 kilder.
- Azure Key Vault: En Azure Key Vault til å lagre godkjenningshemmeligheter for tjenestekontohaveren. Du må konfigurere tillatelser for Microsoft Sentinel administrert identitet til å lese hemmeligheter fra nøkkelhvelvet.
Slik fungerer forbund
- Konfigurer godkjenning: Opprett en tjenestekontohaver og lagre legitimasjonen i Azure Key Vault.
- Opprett en forbundstilkobling: Bruk datakoblingssiden i Microsoft Sentinel til å opprette en koblingsforekomst for den valgte datakilden for dataforbund.
- Velg tabeller: Velg hvilke tabeller fra den eksterne kilden som skal fødes.
- Spørringssamlede data: Bruk datasjøopplevelser som KQL-spørringer, notatblokker eller MCP-verktøy for å få tilgang til forbundstabeller sammen med opprinnelige Sentinel data.
Vanlige scenarioer for dataforbund
Dataforbund gir deg tilgang til data som befinner seg utenfor datasjøen. Dette er spesielt verdifullt i følgende scenarioer:
Datakilder som er operasjonalisert på tvers av flere team og systemer.
År med historiske data som du vil eldes naturlig og ikke er kostnadseffektivt å inninntake.
Regionale regler eller samsvarsforskrifter som begrenser data fra å bli kopiert.
Data som ikke åpnes ofte, og som bare er kontekstavhengig relevante i begrensede scenarioer.
Fordeler med dataforbund
Enhetlig sikkerhetsanalyse
Kombinere data om sikkerhetshendelser i Sentinel med kontekst fra eksterne kilder, for eksempel:
- Analyseutdata fra Databricks
- Historiske logger lagret i ADLS Gen 2
- Forretningsprogramdata fra Microsoft Fabric
Driftsfleksibilitet
- Få tilgang til data på tvers av organisasjonsgrenser
- Integrer data fra ulike team eller forretningsenheter
- Støtte komplekse undersøkelser som strekker seg over flere datakilder
Begrensninger
- Datakilder må være offentlig tilgjengelige. Private endepunkter støttes ikke.
- Azure Key Vault nettverk må angis for å tillate offentlig tilgang fra alle nettverk, som er standard for Key Vault, under konfigurasjon av ADLS eller Azure Databricks-tilkoblingsforekomster. Når du er ferdig med å opprette eller redigere en tilkobling, kan den tilknyttede Key Vault ha en annen nettverksinnstilling konfigurert.
- Forbundstilkoblinger til Microsoft Fabric støtter skjemaaktiverte lakehouses, der arbeidsområder ikke er aktivert for utgående tilgangsbeskyttelse.
- Dataforbund er skrivebeskyttet. du kan ikke skrive data tilbake til forbundskilder.
- Spørringsytelsen avhenger av svargraden og datavolumet til den eksterne kilden.
- Forbundstilkoblinger til en Fabric-kilde kan ha maksimalt 100 tabeller i tilkoblingsforekomsten.
- Du kan ha maksimalt 100 koblingsforekomster. Azure Databricks og ADLS bruker én koblingsforekomst per forbundstilkobling. Microsoft Fabric bruker én koblingsforekomst per lakehouse-skjema i en forbundstilkobling.