Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Tillgångsdata inom cybersäkerhet avser en organisations fysiska och digitala entiteter som datorer, identiteter, programvara, molntjänster och nätverk. Den visar vad som finns så att du vet vad som måste skyddas. Microsoft Sentinel datasjö tillför ett kraftfullt värde genom att lagra dessa tillgångsdata på ett skalbart och kostnadseffektivt sätt som stöder långsiktig kvarhållning, avancerad analys och AI-driven hotidentifiering. Med enhetlig synlighet mellan system och flexibel datahantering hjälper Sentinel Lake säkerhetsteamen att förstå sin miljö, upptäcka ovanliga aktiviteter och reagera på hot.
Hur aktiveras inmatning av tillgångsdata i Sentinel datasjö?
När du registrerar dig för att Sentinel lake matas tillgångsdata in automatiskt om du har rätt behörigheter. Mer information finns i Nödvändiga behörigheter för tillgångskällor.
Om du inte har tillräcklig behörighet skapas tillgångstabeller men inga data matas in. Aktivera inmatning av tillgångsdata manuellt på följande sätt:
- Gå till arbetsytan Microsoft Sentinel i Azure Portal.
- Gå till sidan Dataanslutningsprogram .
- Hitta den relevanta anslutningsappen för tillgångsdatakällor.
- Välj anslutningsappen och följ anvisningarna för att aktivera inmatning.
Tillgångsdata matas endast in i Microsoft Sentinel datasjönivå. Efter onboarding, tillgångsdata, kan det ta upp till 24 timmar att komma fram till sjön.
Tillgångsdata behålls som standard i 30 dagar. Kvarhållningen kan utökas i upp till 12 år. Mer information om hur du hanterar kvarhållning av tabeller finns i dokumentationen för tabellhantering.
Faktureringsöverväganden
Kunder debiteras för inmatning av tillgångsdata.
Kunder debiteras för kvarhållning av tillgångsdata.
Ögonblicksbilder av tillgångsdata tas en gång var 24:e timme.
Eftersom inmatning av tillgångsdata är aktiverat som standard vid registrering till Sentinel datasjö är det viktigt att förstå den grundläggande rollen för tillgång Sentinel dataanslutningar som underlättar inmatning av tillgångsdata. Dessa dataanslutningar ansvarar för att föra in tillgångsrelaterade data i Sentinel datasjö och paketeras i respektive Sentinel Lösningspaket. Du kan identifiera och hantera dessa lösningar via innehållshubben.
Nödvändiga behörigheter för tillgångskällor
I följande tabell beskrivs de olika tillgångsdatakällorna och deras dataanslutningar:
| Datakälla | Tabeller | Behörighet | Lösning för dataanslutning |
|---|---|---|---|
| Azure Resource Graph (ARG) |
ARGResources ARGResourceContainers ARGAuthorizationResources |
Prenumerationsägare | Azure Resource Graph |
| Microsoft Entra ID |
EntraApplications EntraGroupMemberships EntraGroups EntraMembers EntraOrganizations EntraServicePrincipals EntraUsers |
Inga | Microsoft Entra ID tillgång |
Obs!
Vissa dataanslutningar, inklusive men inte begränsat till tillgångskopplingar, bidrar till att skapa datariskdiagram i Purview. Om dessa grafer är aktiva avbryter inaktivering av associerade anslutningsappar deras generation. Beskrivningar av anslutningsappen anger om de är involverade i att skapa datariskdiagram.
Förhandskrav
För att hantera anslutningsappar för tillgångsdata måste du uppfylla följande krav:
- Se till att du har nödvändig åtkomst och behörighet för att Microsoft Sentinel, som den angivna kolumnen Behörigheter i föregående tabell.
- Sök efter den relevanta lösningen som innehåller dataanslutningsappen i innehållshubben. Innehållshubben finns på Microsoft Sentinel-menynInnehållshanteringsinnehållshubb>. Installera lösningen om den inte redan är installerad.
Konfigurera och hantera
Öppna anslutningssidan på något av följande sätt:
Från den installerade lösningen:
- Välj Hantera
- Välj anslutningsappen och sedan sidan Öppna anslutningsapp
Från anslutningsgalleriet:
- Anslutningsgalleriet finns under Microsoft Sentinel menynKonfigurationsdataanslutningar>
Om du vill redigera kvarhållningsperioden för tabellen väljer du på de tre punkterna (...) till höger om tabellnamnet i tabellhanterarrutnätet. Välj en kvarhållningsperiod i upp till 12 år. När anslutningsappen för tillgångsdata visar statusen Ansluten visas knappen Koppla från. Detta indikerar att inmatning är aktiverat. Om du vill inaktivera inmatningen väljer du knappen Koppla från . När anslutningen har kopplats från visas statusen Frånkopplad och knapptexten växlar till Anslut.
Använda tillgångsdata för att utöka aktivitetsdata
Tillgångsdata lägger till värdefulla kontexter och insikter som kanske inte är uppenbara enbart från aktivitetsloggar.
När du till exempel undersöker riskfyllda inloggningar i SigninLogs tabellen kan du förbättra analysen genom att koppla den till tabellen så att den EntraUsers innehåller användarspecifika attribut som avdelnings- och anställningsdatum. Den här extra kontexten hjälper säkerhetsteamen att bättre förstå användarbeteendet och utvärdera potentiella hot mer exakt.
SigninLogs
| where IsRisky == true
| join kind=leftouter (
EntraUsers
| summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate
Köra KQL-frågor på tillgångsdata
Om du vill köra KQL-frågor på tillgångsdata i Sentinel datasjö kontrollerar du att du kör frågor inom rätt arbetsyteomfång. Gör så här:
Gå till Microsoft Sentinel-menynData lake exploration>KQL-frågor
Välj knappen Vald arbetsyta .
Kontrollera att arbetsytan Systemtabeller är markerad.
Tillgångsdatatabeller visas under kategorin Tillgång:
Nästa steg
- Mer information om alternativ för datanivåer och kvarhållningsinställningar finns i dokumentationen för tabellhantering .
- Se hur tillgångsdata berikar Purview-datariskdiagram.
- Så här frågar du Sentinel datasjö