Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Aktivadata i cybersikkerhet refererer til en organisasjons fysiske og digitale enheter, for eksempel datamaskiner, identiteter, programvare, skytjenester og nettverk. Den viser hva som finnes, slik at du vet hva som må beskyttes. datasjøen til Microsoft Sentinel gir kraftig verdi ved å lagre disse aktivadataene på en skalerbar, kostnadseffektiv måte som støtter langsiktig oppbevaring, avansert analyse og AI-drevet trusselregistrering. Med enhetlig synlighet på tvers av systemer og fleksibel databehandling hjelper Sentinel Lake sikkerhetsteamene med å forstå miljøet, oppdage uvanlig aktivitet og reagere på trusler.
Hvordan aktiveres inntak av aktivadata i Sentinel datasjøen?
Når du blir med på å Sentinel lake, blir aktivadata automatisk inntatt hvis du har riktige tillatelser. Hvis du vil ha mer informasjon, kan du se Nødvendige tillatelser for aktivakilder.
Hvis du ikke har tilstrekkelige tillatelser, opprettes aktivatabeller, men ingen data tas inn. Aktiver inntak av aktivadata manuelt på følgende måte:
- Gå til det Microsoft Sentinel arbeidsområdet i Azure Portal.
- Gå til Datakoblinger-siden .
- Finn den relevante datakildekoblingen for aktiva.
- Velg koblingen, og følg instruksjonene for å aktivere inntak.
Aktivadata tas bare inn i Microsoft Sentinel datasjønivå. Etter pålasting, aktivadata, kan det ta opptil 24 timer å komme til innsjøen.
Aktivadata beholdes som standard i 30 dager. Oppbevaring kan utvides i opptil 12 år. Hvis du vil ha mer informasjon om hvordan du administrerer tabelloppbevaring, kan du se dokumentasjonen for tabellbehandling.
Faktureringsvurderinger
Kunder pådrar seg gebyrer for inntak av aktivadata.
Kunder pådrar seg gebyrer for oppbevaring av aktivadata.
Øyeblikksbilder av aktivadata tas én gang hver 24. time.
Siden inntak av aktivadata aktiveres som standard ved pålasting til Sentinel datasjø, er det viktig å forstå den grunnleggende rollen til aktiva Sentinel datakoblinger som forenkler inntak av aktivadata. Disse datakoblingene er ansvarlige for å bringe aktivarelaterte data inn i Sentinel datasjø og er buntet innenfor sine respektive Sentinel løsningspakker. Du kan oppdage og administrere disse løsningene gjennom innholdshuben.
Nødvendige tillatelser for aktivakilder
Tabellen nedenfor beskriver de ulike aktivadatakildene og deres datakoblinger:
| Datakilde | Tabeller | Tillatelse | Data connector-løsning |
|---|---|---|---|
| Azure Resource Graph (ARG) |
ARGResources ARGResourceContainers ARGAuthorizationResources |
Abonnementseier | Azure Resource Graph |
| Microsoft Entra ID |
EntraApplications EntraGroupMemberships EntraGroups EntraMembers EntraOrganiseringer EntraServicePrincipals EntraUsers |
Ingen | Microsoft Entra ID aktiva |
Obs!
Enkelte datakoblinger, inkludert, men ikke begrenset til aktivakoblinger, bidrar til bygging av datarisikografer i Purview. Hvis disse grafene er aktive, avbrytes genereringen av de tilknyttede koblingene. Koblingsbeskrivelser angir om de er involvert i å bygge datarisikografer.
Forutsetninger
Hvis du vil administrere datakoblinger for aktiva, må du oppfylle følgende forutsetninger:
- Sørg for at du har den nødvendige tilgangen og tillatelsene til å Microsoft Sentinel, som angitt Tillatelser-kolonne i den forrige tabellen.
- Søk etter den relevante løsningen som inneholder datakoblingen i innholdshuben. Du finner innholdshub under Microsoft Sentinel-menyeninnholdshub for innholdsbehandling>. Installer løsningen hvis den ikke allerede er installert.
Konfigurer og administrer
Få tilgang til koblingssiden på én av følgende måter:
Fra den installerte løsningen:
- Velg Administrer
- Velg koblingen, og åpne deretter koblingssiden
Fra koblingsgalleriet:
- Du finner koblingsgalleriet underkonfigurasjonsdatakoblingene>på Microsoft Sentinel-menyen
Hvis du vil redigere oppbevaringsperioden for tabellen, velger du de tre prikkene (...) til høyre for tabellnavnet i tabellbehandlingsrutenettet. Velg en oppbevaringsperiode i opptil 12 år. Når koblingen for aktivadata viser en tilkoblet status, viser veksleknappen teksten Koble fra. Dette indikerer at inntak er aktivert. Hvis du vil deaktivere inntak, velger du Koble fra-knappen . Når du har koblet fra, viser koblingsstatusen Frakoblet og knappeteksten veksler mot Koble til.
Bruk aktivadata til å berike aktivitetsdata
Aktivadata legger til verdifull kontekst og innsikt som kanskje ikke er tydelig bare fra aktivitetslogger.
Når du for eksempel undersøker risikable pålogginger i SigninLogs tabellen, kan du forbedre analysen ved å slå den EntraUsers sammen med tabellen for å inkludere brukerspesifikke attributter, for eksempel avdeling og ansettelsesdato. Denne ekstra konteksten hjelper sikkerhetsteamene med å forstå brukeratferden bedre og vurdere potensielle trusler mer nøyaktig.
SigninLogs
| where IsRisky == true
| join kind=leftouter (
EntraUsers
| summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate
Utfør KQL-spørringer på aktivadata
Hvis du vil utføre KQL-spørringer på aktivadata i Sentinel datasjøen, må du kontrollere at du spør innenfor riktig arbeidsområdeomfang. Følg disse trinnene:
Gå til Microsoft Sentinel-menyenKQL-spørringer for datainnsjøutforskning>
Velg Valgt arbeidsområde-knappen .
Kontroller at arbeidsområdet for systemtabeller er valgt.
Aktivadatatabeller vises under aktivakategorien:
Neste trinn
- Se dokumentasjonen for tabellbehandling for mer informasjon om alternativer for datalagering og oppbevaring.
- Se hvordan aktivadata beriker grafer for purview-datarisiko.
- Slik spør du Sentinel datasjøen