Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med Microsoft Sentinel datasjö kan du lagra och analysera loggar med hög volym och låg återgivning som brandväggs- eller DNS-data, tillgångsinventeringar och historiska poster i upp till 12 år. Eftersom lagring och beräkning är frikopplade kan du köra frågor mot samma kopia av data med hjälp av flera verktyg, utan att flytta eller duplicera dem.
Du kan utforska data i datasjön med hjälp av Kusto-frågespråk (KQL) och Jupyter Notebooks för att stödja en mängd olika scenarier, från hotjakt och undersökningar till berikande och maskininlärning.
Den här artikeln beskriver grundläggande begrepp och scenarier för datasjöutforskning, belyser vanliga användningsfall och visar hur du interagerar med dina data med hjälp av välbekanta verktyg.
Interaktiva KQL-frågor
Använd Kusto-frågespråk (KQL) för att köra interaktiva frågor direkt på datasjön över flera arbetsytor.
Med hjälp av KQL kan analytiker:
- Undersöka och svara med historiska data: Använd långsiktiga data i datasjön för att samla in kriminaltekniska bevis, undersöka en incident, identifiera mönster och svara på incidenter.
- Utöka undersökningar med högvolymloggar: Använd brus eller data med låg återgivning som lagras i datasjön för att lägga till kontext och djup i säkerhetsundersökningar.
- Korrelera tillgångs- och loggdata i datasjön: Fråga tillgångsinventeringar och identitetsloggar för att ansluta användaraktivitet med resurser och upptäcka bredare attacker.
Använd KQL-frågor under Microsoft Sentinel>Data lake exploration i Defender-portalen för att köra ad hoc-interaktiva KQL-frågor direkt på långsiktiga data. Datasjöutforskning är tillgängligt när registreringsprocessen har slutförts. KQL-frågor är idealiska för SOC-analytiker som undersöker incidenter där data kanske inte längre finns på analysnivån. Frågor möjliggör kriminalteknisk analys med hjälp av välbekanta frågor utan att skriva om kod. Information om hur du kommer igång med KQL-frågor finns i Data lake exploration – KQL-frågor.
KQL-jobb
KQL-jobb är enstaka eller schemalagda asynkrona KQL-frågor om data i Microsoft Sentinel datasjö. Jobb är till exempel användbara för undersökande och analytiska scenarier.
- Tidskrävande engångsfrågor för incidentundersökningar och incidenthantering (IR)
- Dataaggregeringsuppgifter som stöder berikande arbetsflöden med hjälp av loggar med låg återgivning
- Ti-matchningsgenomsökningar (Historical Threat Intelligence) för retrospektiv analys
- Genomsökningar av avvikelseidentifiering som identifierar ovanliga mönster i flera tabeller
- Flytta upp data från datasjön till analysnivån för att aktivera incidentundersökning eller loggkorrelation.
Kör engångs-KQL-jobb på datasjön för att höja upp specifika historiska data från datasjönivån till analysnivån eller skapa anpassade sammanfattningstabeller på datasjönivån. Att främja data är användbart för rotorsaksanalys eller nolldagsidentifiering när du undersöker incidenter som sträcker sig utanför fönstret på analysnivå. Skicka ett schemalagt jobb på Data Lake för att automatisera återkommande frågor för att identifiera avvikelser eller skapa baslinjer med historiska data. Hotjägare kan använda detta för att övervaka ovanliga mönster över tid och mata in resultat i identifieringar eller instrumentpaneler. Mer information finns i Skapa jobb i Microsoft Sentinel datasjö och Hantera jobb i Microsoft Sentinel datasjö.
Visualisera data i Microsoft Sentinel datasjö med hjälp av arbetsböcker
Du kan använda Microsoft Sentinel arbetsböcker för att visualisera och övervaka data i Microsoft Sentinel datasjö. Genom att välja Sentinel datasjö som datakälla i en arbetsbok kan du köra KQL-frågor direkt på datasjön och återge resultatet som interaktiva diagram och tabeller. På så sätt kan du skapa instrumentpaneler och rapporter som utnyttjar långsiktig telemetri med stora volymer som lagras i datasjön, vilket gör den idealisk för avancerad hotjakt, trendanalys och chefsrapportering. Mer information om hur du skapar arbetsböcker med Sentinel datasjö finns i Visualisera data i Microsoft Sentinel datasjö med hjälp av arbetsböcker.
Utforskningsscenarier
Följande scenarier illustrerar hur KQL-frågor i Microsoft Sentinel datasjö kan användas för att förbättra säkerhetsåtgärder:
| Scenario | Information | Exempel |
|---|---|---|
| Undersöka säkerhetsincidenter med hjälp av långsiktiga historiska data | Säkerhetsteam behöver ofta gå längre än standardkvarhållningsfönstret för att upptäcka hela omfattningen av en incident. | En SOC-analytiker på nivå 3 som undersöker en råstyrkeattack använder KQL-frågor mot datasjön för att fråga efter data som är äldre än 90 dagar. Efter att ha identifierat misstänkt aktivitet från över ett år sedan marknadsför analytikern resultaten till analysnivån för djupare analys och incidentkorrelation. |
| Identifiera avvikelser och skapa beteendebaslinjer över tid | Identifieringstekniker förlitar sig på historiska data för att upprätta baslinjer och identifiera mönster som kan tyda på skadligt beteende. | En identifieringstekniker analyserar inloggningsloggar under flera månader för att identifiera aktivitetstoppar. Genom att schemalägga ett KQL-jobb i datasjön skapar de en baslinje för tidsserier och upptäcker ett mönster som överensstämmer med missbruk av autentiseringsuppgifter. |
| Utöka undersökningar med hjälp av loggar med hög volym och låg återgivning | Vissa loggar är för bullriga eller voluminösa för analysnivån, men de är fortfarande värdefulla för sammanhangsberoende analys. | SOC-analytiker använder KQL för att köra frågor mot nätverks- och brandväggsloggar som endast lagras i datasjön. Dessa loggar, även om de inte finns på analysnivån, hjälper till att verifiera aviseringar och tillhandahålla stödjande bevis under undersökningar. |
| Svara på nya hot med flexibel datanivåindelning | När ny hotinformation dyker upp måste analytiker snabbt komma åt och agera på historiska data. | En hotinformationsanalytiker reagerar på en nyligen publicerad hotanalysrapport genom att köra de föreslagna KQL-frågorna i datasjön. När relevant aktivitet upptäcktes för flera månader sedan höjs den nödvändiga loggen upp till analysnivån. Om du vill aktivera realtidsidentifiering för framtida identifieringar kan nivåindelningsprinciper justeras på relevanta tabeller för att spegla de senaste loggarna till analysnivån. |
| Utforska tillgångsdata från källor utöver traditionella säkerhetsloggar | Utöka undersökningen med hjälp av tillgångslager, till exempel Microsoft Entra ID objekt och Azure resurser. | Analytiker kan använda KQL för att fråga efter identitets- och resurstillgångsinformation, till exempel Microsoft Entra ID användare, appar, grupper eller Azure resursinventeringar, för att korrelera loggar för bredare kontext som kompletterar befintliga säkerhetsdata. |