Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A federação de dados no Microsoft Sentinel permite uma consulta totalmente integrada de múltiplas origens de dados externas a partir do ambiente do data lake Microsoft Sentinel. Ao federar origens de dados como Azure Databricks, Azure Data Lake Storage (ADLS) Gen2 e Microsoft Fabric, as organizações podem melhorar a análise de segurança e as informações operacionais sem mover ou duplicar dados.
O que é a federação de dados?
A federação de dados permite-lhe consultar origens de dados externas diretamente a partir do data lake Microsoft Sentinel com Linguagem de Pesquisa Kusto (KQL) ou blocos de notas do Jupyter com a extensão Microsoft Sentinel Visual Studio Code. Em vez de ingerir os dados em Sentinel, a federação cria ligações para arquivos de dados externos, ativando:
- Análise unificada: consultar origens federadas juntamente com as tabelas nativas Microsoft Sentinel data lake.
- Preservar controlos de governação e conformidade: mantenha a segurança e a conformidade dos dados consultando os dados no local sem os mover.
- Informações avançadas: combine dados de segurança com dados de negócio, registos ou outros conjuntos de dados armazenados em sistemas externos.
- Acesso a dados flexível: aceda a conjuntos de dados históricos ou especializados que complementam as suas operações de segurança.
Importante
A federação de dados é unidirecional do data lake Sentinel para o destino federado. Pode consultar uma origem federada a partir do data lake, mas não pode aceder ao data lake a partir de uma origem federada.
Origens de federação disponíveis
Estão disponíveis as seguintes origens de federação:
| Source (Origem) | Descrição |
|---|---|
| Azure Databricks | Ligue-se às tabelas do Catálogo do Unity do Databricks e consulte dados de Sentinel. |
| Azure Data Lake Storage Gen2 | Consultar dados armazenados em contas de armazenamento do ADLS Gen2 diretamente a partir do data lake Sentinel. |
| Microsoft Fabric | Ligue-se às tabelas do Microsoft Fabric Lakehouse para análise integrada. |
Conceitos-chave
Ligações federadas
Uma ligação federada é uma ligação configurada entre o Sentinel data lake e uma origem de dados externa. Cada ligação especifica:
- A origem de dados de destino (Databricks, ADLS Gen2 ou Recursos de Infraestrutura).
- Credenciais de autenticação armazenadas de forma segura no Azure Key Vault do ADLS e do Azure Databricks.
- As tabelas específicas a federar.
Tabelas federadas
As tabelas federadas são tabelas provenientes de uma ligação federada. As tabelas federadas são apresentadas na página gestão de tabelas do data lake Sentinel e podem ser consultadas como tabelas nativas. Os nomes das tabelas federadas seguem o padrão <tableName>_<connectorInstanceName>. Por exemplo, se a instância do conector tiver o nome ADLS01 e federar com uma tabela com o nome widgets, o nome da tabela federada é widgets_ADLS01.
Instâncias do conector
Cada ligação configurada a uma origem de dados externa é denominada instância de conector. Pode criar várias instâncias para o mesmo tipo de origem de federação, cada uma a ligar a diferentes recursos externos.
Pré-requisitos
Antes de configurar a federação de dados, certifique-se de que cumpre os seguintes requisitos:
- Sentinel integração do data lake: o seu inquilino tem de estar integrado no data lake Sentinel. Para obter mais informações, veja Integrar no Microsoft Sentinel data lake.
- Acessibilidade pública: a origem externa tem de estar acessível publicamente. Atualmente, os pontos finais privados não são suportados.
- Principal de serviço: é necessário um principal de serviço com as permissões adequadas na origem de dados com a qual pretende ligar-se para Azure databricks e origens de Azure Data Lake Storage Gen2.
- Azure Key Vault: uma Azure Key Vault para armazenar segredos de autenticação para o principal de serviço. Tem de configurar permissões para Microsoft Sentinel identidade gerida para ler segredos a partir do cofre de chaves.
Como funciona a federação
- Configurar a autenticação: crie um principal de serviço e armazene as respetivas credenciais no Azure Key Vault.
- Criar uma ligação federada: utilize a página Conectores de dados no Microsoft Sentinel para criar uma instância de conector para a origem de federação de dados escolhida.
- Selecionar tabelas: escolha as tabelas da origem externa a federar.
- Consultar dados federados: utilize experiências de data lake, como consultas KQL, Blocos de Notas ou ferramentas MCP para aceder a tabelas federadas juntamente com dados Sentinel nativos.
Cenários comuns para a federação de dados
A federação de dados permite-lhe aceder aos dados que residem fora do data lake. Isto é especialmente valioso nos seguintes cenários:
Origens de dados operacionalizadas em várias equipas e sistemas.
Anos de dados históricos que quer envelhecer naturalmente e que não são rentáveis para ingerir.
Regulamentos regionais ou de conformidade que restringem a cópia dos dados.
Dados que não são acedidos com frequência e só são contextualmente relevantes em cenários limitados.
Benefícios da federação de dados
Análise de segurança unificada
Combine dados de eventos de segurança no Sentinel com o contexto de origens externas, tais como:
- Saídas de análise do Databricks
- Registos históricos armazenados no ADLS Gen2
- Dados de aplicações empresariais do Microsoft Fabric
Flexibilidade operacional
- Aceder a dados entre limites organizacionais
- Integrar dados de diferentes equipas ou unidades empresariais
- Suportar investigações complexas que abrangem várias origens de dados
Limitações
- As origens de dados têm de estar acessíveis publicamente. Os pontos finais privados não são suportados.
- Azure Key Vault rede tem de ser definida para Permitir o acesso público a partir de todas as redes, que é a predefinição para Key Vault, durante a configuração do ADLS ou Azure instâncias de ligação do Databricks. Depois de concluir a criação ou edição de uma ligação, o Key Vault associado pode ter uma definição de rede diferente configurada.
- As ligações federadas ao Microsoft Fabric suportam lakehouses preparados para esquemas, onde as áreas de trabalho não estão ativadas para proteção de acesso de saída.
- A federação de dados é só de leitura; não pode voltar a escrever dados em origens federadas.
- O desempenho das consultas depende da capacidade de resposta e do volume de dados da origem externa.
- As ligações federadas a uma origem de Recursos de Infraestrutura podem ter um máximo de 100 tabelas na instância de ligação.
- Pode ter um máximo de 100 instâncias de conector. Azure o Databricks e o ADLS utilizam uma instância de conector por ligação federada. O Microsoft Fabric utiliza uma instância de conector por esquema lakehouse numa ligação federada.