Opname van assetgegevens in de Microsoft Sentinel data lake

Assetgegevens in cyberbeveiliging verwijzen naar de fysieke en digitale entiteiten van een organisatie, zoals computers, identiteiten, software, cloudservices en netwerken. Het laat zien wat er bestaat, zodat u weet wat moet worden beveiligd. het data lake van Microsoft Sentinel voegt krachtige waarde toe door deze assetgegevens op te slaan op een schaalbare, kostenefficiënte manier die langetermijnretentie, geavanceerde analyses en ai-gestuurde detectie van bedreigingen ondersteunt. Met uniforme zichtbaarheid van systemen en flexibel gegevensbeheer helpt Sentinel lake beveiligingsteams hun omgeving te begrijpen, ongebruikelijke activiteiten te herkennen en te reageren op bedreigingen.

Hoe wordt opname van assetgegevens ingeschakeld in Sentinel Data Lake?

  • Wanneer u onboardt naar Sentinel lake, worden assetgegevens automatisch opgenomen als u de juiste machtigingen hebt. Zie Vereiste machtigingen voor assetbronnen voor meer informatie.

  • Als u onvoldoende machtigingen hebt, worden assettabellen gemaakt, maar worden er geen gegevens opgenomen. Schakel de opname van assetgegevens als volgt handmatig in:

    1. Ga naar de werkruimte Microsoft Sentinel in de Azure Portal.
    2. Ga naar de pagina Gegevensconnectors .
    3. Zoek de relevante connector voor de assetgegevensbron.
    4. Selecteer de connector en volg de aanwijzingen om opname in te schakelen.

  • Assetgegevens worden alleen opgenomen in de Microsoft Sentinel data lake-laag. Na het onboarden van assetgegevens kan het tot 24 uur duren voordat ze in het meer aankomen.

  • Assetgegevens worden standaard 30 dagen bewaard. Retentie kan worden uitgebreid tot 12 jaar. Zie documentatie voor tabelbeheer voor meer informatie over het beheren van tabelretentie.

Factureringsoverwegingen

  • Voor klanten worden kosten in rekening gebracht voor opname van assetgegevens.

  • Voor klanten worden kosten in rekening gebracht voor het bewaren van assetgegevens.

Momentopnamen van assetgegevens worden eenmaal per 24 uur gemaakt.

Aangezien opname van assetgegevens standaard is ingeschakeld bij het onboarden naar Sentinel data lake, is het belangrijk om de fundamentele rol van asset Sentinel gegevensconnectors te begrijpen die opname van assetgegevens mogelijk maken. Deze gegevensconnectors zijn verantwoordelijk voor het overbrengen van assetgerelateerde gegevens in Sentinel Data Lake en worden gebundeld in hun respectieve Sentinel Solution-pakketten. U kunt deze oplossingen detecteren en beheren via de Content Hub.

Vereiste machtigingen voor assetbronnen

In de volgende tabel worden de verschillende assetgegevensbronnen en de bijbehorende gegevensconnectors beschreven:

Gegevensbron Tabellen Machtiging Oplossing voor gegevensconnector
Azure Resource Graph (ARG) ARGResources
ARGResourceContainers
ARGAuthorizationResources		 Abonnementseigenaar Azure Resource Graph
Microsoft Entra ID EntraApplications
EntraGroupMemberships
EntraGroups
EntraMembers
EntraOrganizations
EntraServicePrincipals
EntraUsers		 Geen Microsoft Entra ID asset

Opmerking

Bepaalde gegevensconnectors, waaronder maar niet beperkt tot assetconnectors, dragen bij aan de constructie van gegevensrisicografieken in Purview. Als deze grafieken actief zijn, onderbreekt het uitschakelen van de gekoppelde connectors hun generatie. Connectorbeschrijvingen geven aan of ze betrokken zijn bij het maken van gegevensrisicografieken.

Vereisten

Als u assetgegevensconnectors wilt beheren, moet u aan de volgende vereisten voldoen:

  • Zorg ervoor dat u over de benodigde toegang en machtigingen beschikt om te Microsoft Sentinel, zoals de opgegeven kolom Machtigingen van de vorige tabel.
  • Zoek naar de relevante oplossing met de gegevensconnector in de Content Hub. Content Hub vindt u onder het menu Microsoft SentinelContent Management>Content Hub. Installeer de oplossing als deze nog niet is geïnstalleerd.

Schermopname van Sentinel pagina Defender-gegevensconnectors met de Azure Resource Graph gegevensconnector weergegeven.

Configureren en beheren

Open de connectorpagina op een van de volgende manieren:

  • Vanuit de geïnstalleerde oplossing:

    • Selecteer Beheren
    • Selecteer de connector en vervolgens de pagina Connector openen

  • Vanuit de connectorgalerie:

    • De connectorgalerie vindt u onder het menu Microsoft Sentinelconfiguratiegegevensconnectors>

Als u de bewaarperiode van de tabel wilt bewerken, selecteert u op de drie puntjes (...) rechts van de tabelnaam in het tabelbeheerraster. Selecteer een bewaarperiode van maximaal 12 jaar. Wanneer de assetgegevensconnector de status Verbonden weergeeft, wordt in de tekst van de wisselknop Verbinding verbreken weergegeven. Dit geeft aan dat opname is ingeschakeld. Als u de opname wilt uitschakelen, selecteert u de knop Verbinding verbreken . Zodra de verbinding is verbroken, wordt in de verbindingslijnstatus Verbroken weergegeven en wordt de knoptekst om te schakelen naar Verbinding maken.

Schermopname van de startpagina van assets met de knop Verbinding maken.

Assetgegevens gebruiken om activiteitsgegevens te verrijken

Assetgegevens voegen waardevolle context en inzichten toe die mogelijk niet alleen zichtbaar zijn in activiteitenlogboeken. Wanneer u bijvoorbeeld riskante aanmeldingen in de SigninLogs tabel onderzoekt, kunt u de analyse verbeteren door deze samen te voegen met de EntraUsers tabel met gebruikersspecifieke kenmerken, zoals afdeling en aanhuurdatum. Deze extra context helpt beveiligingsteams het gedrag van gebruikers beter te begrijpen en potentiële bedreigingen nauwkeuriger te beoordelen.

SigninLogs
| where IsRisky == true
| join kind=leftouter (
   EntraUsers
   | summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate

KQL-query's uitvoeren op assetgegevens

Als u KQL-query's wilt uitvoeren op assetgegevens in de Sentinel Data Lake, moet u ervoor zorgen dat u query's uitvoert binnen het juiste werkruimtebereik. Volg deze stappen:

  1. Navigeer naar het Microsoft Sentinel menu Data Lake exploration>KQL-query's

  2. Selecteer de knop Geselecteerde werkruimte .

    Schermopname van de informatiebalk voor KQL-query's met een knop om de werkruimte te selecteren.

  3. Zorg ervoor dat de werkruimte Systeemtabellen is geselecteerd.

    Schermopname van de informatiebalk KQL-query's met de geselecteerde werkruimte Systeemtabellen.

Assetgegevenstabellen worden weergegeven onder de categorie Activa:

Schermopname van de tabelkiezer voor KQL-query's met assetgegevenstabellen onder de categorie Activa.

Volgende stappen

  • Last updated on