Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
For Microsoft Sentinel arbeidsområder som er koblet til Defender, må lagvising og oppbevaringsbehandling gjøres fra den nye tabellbehandlingsopplevelsen i Defender-portalen. Hvis du ikke er tilknyttet Microsoft Sentinel arbeidsområder, kan du fortsette å bruke opplevelsene som er beskrevet nedenfor, til å behandle data i arbeidsområdene.
Det finnes to konkurrerende aspekter ved logginnsamling og -oppbevaring som er avgjørende for et vellykket trusselregistreringsprogram. På den ene siden vil du maksimere antall loggkilder du samler inn, slik at du har den mest omfattende sikkerhetsdekningen mulig. På den annen side må du minimere kostnadene som påløper ved inntak av alle disse dataene.
Disse konkurrerende behovene krever en strategi for loggbehandling som balanserer datatilgjengelighet, spørringsytelse og lagringskostnader.
Denne artikkelen beskriver kategorier av data og oppbevaringsstatusene som brukes til å lagre og få tilgang til dataene dine. Den beskriver også loggnivåene Microsoft Sentinel gir deg mulighet til å bygge en strategi for loggbehandling og oppbevaring.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
Kategorier av inntatte data
Microsoft anbefaler at du klassifiserer data inntatt i Microsoft Sentinel i to generelle kategorier:
Primære sikkerhetsdata er data som inneholder kritisk sikkerhetsverdi. Disse dataene brukes til proaktiv overvåking i sanntid, planlagte varsler og analyser for å oppdage sikkerhetstrusler. Dataene må være lett tilgjengelige for alle Microsoft Sentinel opplevelser i nær sanntid.
Sekundære sikkerhetsdata er ekstra data, ofte i detaljerte logger med høyt volum. Disse dataene er av begrenset sikkerhetsverdi, men de kan gi mer omfattende og kontekst til oppdagelser og undersøkelser, noe som bidrar til å tegne hele bildet av en sikkerhetshendelse. Det trenger ikke å være lett tilgjengelig, men bør være tilgjengelig på forespørsel etter behov og i passende doser.
Primære sikkerhetsdata
Denne kategorien består av logger som har kritisk sikkerhetsverdi for organisasjonen. Primære brukstilfeller for sikkerhetsdata for sikkerhetsoperasjoner inkluderer:
Hyppig overvåking. Regler for trusselregistrering (analyse) kjøres på disse dataene med hyppige intervaller eller i nær sanntid.
Behovsbetinget jakt. Komplekse spørringer kjøres på disse dataene for å utføre interaktiv jakt med høy ytelse etter sikkerhetstrusler.
Korrelasjon. Data fra disse kildene er korrelert med data fra andre primære sikkerhetsdatakilder for å oppdage trusler og bygge angrepshistorier.
Regelmessig rapportering. Data fra disse kildene er lett tilgjengelig for kompilering i regelmessige rapporter om organisasjonens sikkerhetstilstand, for både sikkerhet og generelle beslutningstakere.
Analyse av virkemåte. Data fra disse kildene brukes til å bygge profiler for virkemåte for grunnlinje for brukere og enheter, slik at du kan identifisere ytre virkemåter som mistenkelige.
Noen eksempler på primære datakilder inkluderer:
- Logger fra EDR-systemer (antivirus- eller enterprise detection and response)
- Godkjenningslogger
- Overvåke spor fra skyplattformer
- Feeder for trusselintelligens
- Varsler fra eksterne systemer
Logger som inneholder primære sikkerhetsdata, bør lagres ved hjelp av analysenivået.
Sekundære sikkerhetsdata
Denne kategorien omfatter logger der den individuelle sikkerhetsverdien er begrenset, men som er avgjørende for å gi en omfattende oversikt over en sikkerhetshendelse eller brudd. Vanligvis er disse loggene store og kan være detaljerte. Brukstilfellene for sikkerhetsoperasjoner for disse dataene omfatter følgende:
Trusselintelligens. Primære data kan kontrolleres mot lister over indikatorer for kompromiss (IoC) eller indikatorer for angrep (IoA) for raskt og enkelt å oppdage trusler.
Ad hoc jakt / undersøkelser. Data kan spørres interaktivt i 30 dager, noe som forenkler avgjørende analyser for trusseljakt og undersøkelser.
Store søk. Data kan tas inn og søkes i bakgrunnen på petabyte skala, samtidig som de lagres effektivt med minimal behandling.
Oppsummering via KQL-jobber. Oppsummer logger med høyt volum i aggregert informasjon, og lagre resultatene i analysenivået.
Noen eksempler på sekundære datakilder er skylagringslogger, NetFlow-logger, TLS/SSL-sertifikatlogger, brannmurlogger, proxy-logger og IoT-logger.
For logger som inneholder sekundære sikkerhetsdata, kan du bruke Microsoft Sentinel datasjøen, som er utformet for å tilby forbedret skalerbarhet, fleksibilitet og integreringsfunksjoner for avanserte sikkerhets- og samsvarsscenarioer.
Nivåer for loggbehandling
Microsoft Sentinel inneholder to forskjellige lagringslag for logger, eller typer, for å imøtekomme disse kategoriene med inntatte data.
Analysenivåplanen er utformet for å lagre primære sikkerhetsdata og gjøre den enkel og konstant tilgjengelig med høy ytelse.
Data lake-nivået er optimalisert for lagring av sekundære sikkerhetsdata kostnadseffektivt over lengre perioder, samtidig som tilgjengelighet opprettholdes.
Analysenivå
Analysenivået holder data i interaktiv oppbevaringstilstand i 90 dager som standard, utvidbart i opptil to år. Denne interaktive tilstanden, selv om den er dyr, lar deg spørre dataene dine på ubegrenset måte, med høy ytelse, uten kostnad per spørring.
Data lake tier
Microsoft Sentinel datasjøen er en fullstendig administrert, moderne datasjø som forener og beholder sikkerhetsdata i stor skala, noe som muliggjør avansert analyse på tvers av flere modaliteter og ai-agentisk drevet trusselregistrering. Det gir sikkerhetsteamene mulighet til å undersøke langsiktige trusler, berike varsler og bygge atferdsmessige grunnlinjer ved hjelp av måneder med data.
Når total oppbevaring er konfigurert til å være lengre enn oppbevaring av analysenivå, eller når oppbevaringsperioden for analysenivået utløper, vil data som er lagret utover oppbevaring av analysenivå, fortsatt være tilgjengelige i datasjøen.
Beslektet innhold
- Hvis du vil vite mer om Microsoft Sentinel datasjøen, kan du se Microsoft Sentinel datasjøen.
- Hvis du vil Microsoft Sentinel datasjøen om bord, kan du se pålastingsdata for å Microsoft Sentinel datasjøen.