Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met gegevensfederatie in Microsoft Sentinel kunt u probleemloos query's uitvoeren op meerdere externe gegevensbronnen vanuit de Microsoft Sentinel Data Lake-omgeving. Door gegevensbronnen zoals Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 en Microsoft Fabric te federeren, kunnen organisaties hun beveiligingsanalyses en operationele inzichten verbeteren zonder gegevens te verplaatsen of dupliceren.
Wat is gegevensfederatie?
Met gegevensfederatie kunt u rechtstreeks vanuit de Microsoft Sentinel data lake query's uitvoeren op externe gegevensbronnen met behulp van Kusto-querytaal (KQL) of Jupyter-notebooks met behulp van de Microsoft Sentinel Visual Studio Code-extensie. In plaats van de gegevens op te nemen in Sentinel, maakt federatie verbindingen met externe gegevensarchieven, waardoor:
- Geïntegreerde analyse: query's uitvoeren op federatieve bronnen naast systeemeigen Microsoft Sentinel Data Lake-tabellen.
- Beheer- en nalevingscontroles behouden: behoud gegevensbeveiliging en -naleving door query's uit te voeren op gegevens zonder deze te verplaatsen.
- Verbeterde inzichten: combineer beveiligingsgegevens met bedrijfsgegevens, logboeken of andere gegevenssets die zijn opgeslagen in externe systemen.
- Flexibele gegevenstoegang: krijg toegang tot historische of gespecialiseerde gegevenssets die uw beveiligingsbewerkingen aanvullen.
Belangrijk
Gegevensfederatie is één richting van de Sentinel Data Lake naar het federatieve doel. U kunt een query uitvoeren op een federatieve bron vanuit het data lake, maar u hebt geen toegang tot de data lake vanuit een federatieve bron.
Beschikbare federatiebronnen
De volgende federatiebronnen zijn beschikbaar:
| Source | Beschrijving |
|---|---|
| Azure Databricks | Maak verbinding met Databricks Unity Catalog-tabellen en voer query's uit op gegevens uit Sentinel. |
| Azure Data Lake Storage Gen 2 | Query's uitvoeren op gegevens die zijn opgeslagen in ADLS Gen 2-opslagaccounts, rechtstreeks vanuit de Sentinel data lake. |
| Microsoft Fabric | Maak verbinding met Microsoft Fabric Lakehouse-tabellen voor geïntegreerde analyses. |
Sleutelbegrippen
Federatieve verbindingen
Een federatieve verbinding is een geconfigureerde koppeling tussen de Sentinel data lake en een externe gegevensbron. Elke verbinding geeft het volgende op:
- De doelgegevensbron (Databricks, ADLS Gen 2 of Fabric).
- Verificatiereferenties die veilig zijn opgeslagen in Azure Key Vault voor ADLS en Azure Databricks.
- De specifieke tabellen die moeten worden gefedereerd.
Federatieve tabellen
Federatieve tabellen zijn tabellen die afkomstig zijn van een federatieve verbinding. Federatieve tabellen worden weergegeven op de pagina Sentinel data lake tabelbeheer en kunnen worden opgevraagd als systeemeigen tabellen. Federatieve tabelnamen volgen het patroon <tableName>_<connectorInstanceName>. Als uw connectorexemplaren bijvoorbeeld een naam ADLS01 hebben en u federatief bent met een tabel met de naam widgets, is widgets_ADLS01de naam van de federatieve tabel .
Connectorexemplaren
Elke geconfigureerde verbinding met een externe gegevensbron wordt een connectorexemplaren genoemd. U kunt meerdere exemplaren voor hetzelfde federatiebrontype maken, die elk verbinding maken met verschillende externe resources.
Vereisten
Voordat u gegevensfederatie instelt, moet u voldoen aan de volgende vereisten:
- Sentinel data lake-onboarding: uw tenant moet worden onboardd naar de Sentinel data lake. Zie Onboard to Microsoft Sentinel data lake (Onboarden naar Microsoft Sentinel data lake) voor meer informatie.
- Openbare toegankelijkheid: De externe bron moet openbaar toegankelijk zijn. Privé-eindpunten worden momenteel niet ondersteund.
- Service-principal: een service-principal met de juiste machtigingen in de gegevensbron waarmee u verbinding wilt maken, is vereist voor Azure Databricks- en Azure Data Lake Storage Gen2-bronnen.
- Azure Key Vault: een Azure Key Vault voor het opslaan van verificatiegeheimen voor de service-principal. U moet machtigingen configureren voor Microsoft Sentinel beheerde identiteit om geheimen uit de sleutelkluis te lezen.
Hoe federatie werkt
- Verificatie configureren: maak een service-principal en sla de referenties op in Azure Key Vault.
- Een federatieve verbinding maken: gebruik de pagina Gegevensconnectors in Microsoft Sentinel om een connectorexemplaren te maken voor de gekozen gegevensfederatiebron.
- Tabellen selecteren: kies welke tabellen uit de externe bron moeten worden gefedereerd.
- Gefedereerde gegevens opvragen: gebruik data lake-ervaringen zoals KQL-query's, notebooks of MCP-hulpprogramma's voor toegang tot federatieve tabellen naast systeemeigen Sentinel gegevens.
Algemene scenario's voor gegevensfederatie
Met gegevensfederatie hebt u toegang tot gegevens die zich buiten de data lake bevinden. Dit is met name nuttig in de volgende scenario's:
Gegevensbronnen die worden uitgevoerd in meerdere teams en systemen.
Jaren aan historische gegevens die u op natuurlijke wijze wilt verouderen en die niet rendabel zijn om op te nemen.
Regionale of nalevingsregels die het kopiëren van gegevens beperken.
Gegevens die niet vaak worden geopend en die alleen contextueel relevant zijn in beperkte scenario's.
Voordelen van gegevensfederatie
Geïntegreerde beveiligingsanalyse
Gegevens van beveiligingsincidenten in Sentinel combineren met context van externe bronnen, zoals:
- Analyse-uitvoer van Databricks
- Historische logboeken die zijn opgeslagen in ADLS Gen 2
- Zakelijke toepassingsgegevens van Microsoft Fabric
Operationele flexibiliteit
- Toegang tot gegevens over organisatiegrenzen heen
- Gegevens van verschillende teams of bedrijfseenheden integreren
- Ondersteuning voor complexe onderzoeken die meerdere gegevensbronnen omvatten
Beperkingen
- Gegevensbronnen moeten openbaar toegankelijk zijn. Privé-eindpunten worden niet ondersteund.
- Azure Key Vault netwerken moet worden ingesteld voor Openbare toegang toestaan vanaf alle netwerken, wat de standaardinstelling is voor Key Vault, tijdens de configuratie van ADLS- of Azure Databricks-verbindingsexemplaren. Nadat u een verbinding hebt gemaakt of bewerkt, kan voor de bijbehorende Key Vault een andere netwerkinstelling worden geconfigureerd.
- Federatieve verbindingen met Microsoft Fabric ondersteunen lakehouses met schema's, waarbij werkruimten niet zijn ingeschakeld voor beveiliging van uitgaande toegang.
- Gegevensfederatie is alleen-lezen; u kunt geen gegevens terugschrijven naar federatieve bronnen.
- De queryprestaties zijn afhankelijk van de reactiesnelheid en het gegevensvolume van de externe bron.
- Federatieve verbindingen met een Infrastructuurbron kunnen maximaal 100 tabellen in het verbindingsexemplaren hebben.
- U kunt maximaal 100 connectorexemplaren hebben. Azure Databricks en ADLS gebruiken één connectorexemplaren per federatieve verbinding. Microsoft Fabric gebruikt één connectorexemplaren per Lakehouse-schema in een federatieve verbinding.