Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Med Microsoft Sentinel datasjøen kan du lagre og analysere logger med høy volum med lav gjengivelse, for eksempel brannmur- eller DNS-data, aktivabeholdninger og historiske poster i opptil 12 år. Fordi lagring og databehandling er frakoblet, kan du spørre den samme kopien av data ved hjelp av flere verktøy, uten å flytte eller duplisere den.
Du kan utforske data i datasjøen ved hjelp av Kusto Query Language (KQL) og Jupyter Notebooks, for å støtte en rekke scenarioer, fra trusseljakt og undersøkelser til berikelse og maskinlæring.
Denne artikkelen introduserer kjernekonseptene og scenariene for utforsking av datasjøen, fremhever vanlige brukstilfeller og viser hvordan du samhandler med dataene ved hjelp av kjente verktøy.
Interaktive KQL-spørringer
Bruk Kusto Query Language (KQL) til å kjøre interaktive spørringer direkte på datasjøen over flere arbeidsområder.
Ved hjelp av KQL kan analytikere:
- Undersøk og svar ved hjelp av historiske data: Bruk langsiktige data i datasjøen til å samle rettsmedisinske bevis, undersøke en hendelse, oppdage mønstre og svare på hendelser.
- Berike undersøkelser med logger med høyt volum: Dra nytte av støyende eller lite gjengivelsesdata som er lagret i datasjøen for å legge til kontekst og dybde i sikkerhetsundersøkelser.
- Korreler aktiva og logger data i datasjøen: Spør aktivabeholdninger og identitetslogger for å koble brukeraktivitet med ressurser og avdekke bredere angrep.
Bruk KQL-spørringer under Microsoft Sentinel>Data lake exploration i Defender-portalen til å kjøre ad hoc interaktive KQL-spørringer direkte på langsiktige data. Data Lake Exploration er tilgjengelig etter at pålastingsprosessen er fullført. KQL-spørringer er ideelle for SOC-analytikere som undersøker hendelser der data kanskje ikke lenger befinner seg i analysenivået. Spørringer aktiverer rettsmedisinsk analyse ved hjelp av kjente spørringer uten å skrive om kode. Hvis du vil komme i gang med KQL-spørringer, kan du se Data Lake Exploration – KQL-spørringer.
KQL-jobber
KQL-jobber er engangs- eller planlagte asynkrone KQL-spørringer på data i Microsoft Sentinel datasjøen. Jobber er nyttige for eksempel undersøkende og analytiske scenarioer.
- Langvarige engangsspørringer for hendelsesundersøkelser og hendelsesrespons (IR)
- Dataaggregasjonsoppgaver som støtter berikelsesarbeidsflyter ved hjelp av logger med lav gjengivelse
- Historisk trusselintelligens (TI) samsvarende skanninger for retrospektiv analyse
- Avviksregistreringsskanninger som identifiserer uvanlige mønstre på tvers av flere tabeller
- Heve nivået for data fra datasjøen til analysenivået for å muliggjøre hendelsesundersøkelse eller loggkorrelasjon.
Kjør engangs KQL-jobber på datasjøen for å fremme spesifikke historiske data fra datasjøen til analysenivået, eller opprett egendefinerte sammendragstabeller i datasjøen. Promotering av data er nyttig for analyse av grunnårsak eller nulldagsregistrering når du undersøker hendelser som strekker seg utover analysenivåvinduet. Send inn en planlagt jobb på Data Lake for å automatisere regelmessige spørringer for å oppdage avvik eller bygge opprinnelige planer ved hjelp av historiske data. Trusseljegere kan bruke dette til å overvåke uvanlige mønstre over tid og mate resultater til oppdagelser eller instrumentbord. Hvis du vil ha mer informasjon, kan du se Opprette jobber i Microsoft Sentinel datasjøen og administrere jobber i Microsoft Sentinel datasjøen.
Visualiser data i Microsoft Sentinel datasjø ved hjelp av arbeidsbøker
Du kan bruke Microsoft Sentinel arbeidsbøker til å visualisere og overvåke data i Microsoft Sentinel datasjøen. Ved å velge Sentinel datasjøen som datakilde i en arbeidsbok, kan du kjøre KQL-spørringer direkte på datasjøen og gjengi resultatene som interaktive diagrammer og tabeller. Dette gjør at du kan opprette instrumentbord og rapporter som drar nytte av langsiktig telemetri med høyt volum lagret i datasjøen, noe som gjør den ideell for avansert trusseljakt, trendanalyse og rapportering av ledere. Hvis du vil ha mer informasjon om hvordan du oppretter arbeidsbøker med Sentinel datasjøen, kan du se Visualisere data i Microsoft Sentinel datasjø ved hjelp av arbeidsbøker.
Utforskingsscenarioer
Følgende scenarioer illustrerer hvordan KQL-spørringer i Microsoft Sentinel datasjøen kan brukes til å forbedre sikkerhetsoperasjoner:
| Scenario | Detaljer | Eksempel |
|---|---|---|
| Undersøk sikkerhetshendelser ved hjelp av langsiktige historiske data | Sikkerhetsteam må ofte gå utover standard oppbevaringsvindu for å avdekke hele omfanget av en hendelse. | En Tier 3 SOC-analytiker som undersøker et brute force-angrep, bruker KQL-spørringer mot datasjøen til å spørre data som er eldre enn 90 dager. Etter å ha identifisert mistenkelig aktivitet fra over et år siden, fremmer analytikeren funnene til analysenivået for dypere analyse og hendelseskorrelasjon. |
| Oppdag avvik og bygg atferdsmessige grunnlinjer over tid | Gjenkjenningsteknikere er avhengige av historiske data for å etablere grunnlinjer og identifisere mønstre som kan indikere ondsinnet atferd. | En gjenkjenningstekniker analyserer påloggingslogger over flere måneder for å oppdage pigger i aktivitet. Ved å planlegge en KQL-jobb i datasjøen bygger de en grunnlinje for tidsserier og avdekker et mønster som samsvarer med misbruk av legitimasjon. |
| Berike undersøkelser ved hjelp av logger med høy volum med lav gjengivelse | Noen logger er for støyende eller voluminøse for analysenivået, men er fortsatt verdifulle for kontekstavhengig analyse. | SOC-analytikere bruker KQL til å spørre etter nettverk og brannmurlogger som bare er lagret i datasjøen. Disse loggene, selv om de ikke er i analysenivået, bidrar til å validere varsler og gi støttebevis under undersøkelser. |
| Svare på nye trusler med fleksibel datalagering | Når ny trusselintelligens dukker opp, må analytikere raskt få tilgang til og handle på historiske data. | En trusselintelligensanalytiker reagerer på en nylig publisert trusselanalyserapport ved å kjøre de foreslåtte KQL-spørringene i datasjøen. Når du oppdager relevant aktivitet fra flere måneder siden, blir den nødvendige loggen forfremmet til analysenivået. Hvis du vil aktivere sanntidsgjenkjenning for fremtidige gjenkjenninger, kan lagingspolicyer justeres på de relevante tabellene for å speile de nyeste loggene i analysenivået. |
| Utforsk aktivadata fra kilder utover tradisjonelle sikkerhetslogger | Berike undersøkelser ved hjelp av aktivabeholdning, for eksempel Microsoft Entra ID objekter og Azure ressurser. | Analytikere kan bruke KQL til å spørre informasjon om identitets- og ressursressurser, for eksempel Microsoft Entra ID brukere, apper, grupper eller Azure ressursbeholdninger, til å koordinere logger for bredere kontekst som utfyller eksisterende sikkerhetsdata. |