Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Хранилище данных Microsoft Sentinel отражает данные из рабочих областей Microsoft Sentinel. При подключении к озеру данных Microsoft Sentinel существующие соединители данных Microsoft Sentinel настроены для отправки данных на оба уровня аналитики — рабочие области Microsoft Sentinel и зеркальное отображение данных на уровне озера данных для долгосрочного хранения. После подключения настройте соединители для хранения данных на каждом уровне в соответствии с вашими требованиями.
В этой статье объясняется, как настроить соединители для озера данных Microsoft Sentinel и настроить политику хранения данных. Дополнительные сведения о подключении см. в разделе "Подключение к озеру данных Microsoft Sentinel".
Настройка политик хранения и тиражирование данных
После подключения можно включить новые соединители и настроить хранение для существующих соединителей. Вы можете отправить данные на уровень аналитики и зеркально отражать данные на уровне озера данных или отправлять данные только на уровень озера данных. Вы можете управлять хранением и распределением по уровням на страницах настройки соединителя или с помощью страницы управления таблицами на портале Defender. Дополнительные сведения об управлении таблицами и хранении см. в статье "Управление уровнями данных и хранением" на портале Microsoft Defender.
При включении соединителя данные по умолчанию отправляются на уровень аналитики и отражаются на уровне озера данных. При включении озера данных Microsoft Sentinel зеркалирование автоматически включается для всех таблиц с момента подключения. Дублированные данные в озере данных с таким же сроком хранения, как аналитический уровень, не приводят к дополнительным расходам на выставление счетов. Существующие данные в таблицах не дублируются. Для уровня удержания озера данных установлено то же значение, что и для аналитического уровня. Вы можете переключиться на прием данных исключительно на уровне хранилища данных. Когда вы настраиваете загрузку только на уровень озера данных, загрузка на уровень аналитики останавливается, а существующие данные на уровне аналитики будут сохранены в соответствии с настройками хранения данных.
Данные, сохраненные в архиве, по-прежнему доступны и могут быть восстановлены с помощью функции поиска и восстановления.
Сведения о настройке хранения и уровня для соединителя данных см. в разделе "Настройка соединителя данных".
Данные Microsoft Sentinel XDR
По умолчанию Microsoft Defender XDR сохраняет данные поиска угроз в аналитическом уровне в течение 30 дней. Эти данные всегда доступны. Некоторые таблицы XDR можно ингестировать в уровни аналитики и озера данных, увеличив время хранения на более чем 30 дней. Вы также можете интегрировать данные XDR непосредственно на уровне озера данных без уровня аналитики. Дополнительные сведения см. в разделе "Управление данными XDR" в Microsoft Sentinel.
Пользовательские таблицы логов
Пользовательские таблицы Microsoft Monitoring Agent (MMA) и Log Analytics Agent (CLV1) не синхронизированы с озером данных.
Таблицы, созданные с помощью API приема журналов или агента Azure Monitor (AMA), а также пользовательские таблицы на основе DCR, дублируются. Дополнительные сведения см. в разделе API приема журналов в Azure Monitor.
Вспомогательные таблицы журналов
Когда вы подключены к Microsoft Defender и Microsoft Sentinel, а затем подключены к озеру данных, вы больше не увидите вспомогательные таблицы журналов в расширенной охоте в Microsoft Defender или на портале Microsoft Sentinel Azure. Вспомогательные данные таблицы доступны в хранилище данных, и их можно запросить, используя запросы KQL или записные книжки Jupyter. Найдите запросы KQL в разделе Microsoft Sentinel>Обозреватель озера данных на портале Defender.
Прямая загрузка в уровень озера данных
В зависимости от потребностей вашей организации в области безопасности вы можете напрямую интегрировать некоторые источники журналов в озеро данных. Непосредственное внесение журналов в озеро данных позволяет лучше управлять затратами, оптимизируя хранение данных на основе их ценности для обнаружения в режиме реального времени и долгосрочного анализа.
Загружайте журналы с большим объемом данных, которые менее критичны для обнаружения в режиме реального времени, но полезны для глубокого анализа и судебных экспертиз, непосредственно в озеро данных. А на аналитический уровень загружайте только журналы с высокой ценностью. Обратите внимание, что журналы, которые отправляются на уровень аналитики, также зеркально отражаются в озере данных.
Используйте следующую таблицу, чтобы приоритизировать, какие источники следует принимать непосредственно в озеро данных или аналитический уровень.
| Тип источника журнала | Объем типичного журнала | Значение для обнаружения угроз в режиме реального времени и оповещения | Значимость для поиска угроз | Значение для расследования инцидентов и судебно-медицинской экспертизы | Загрузка в озеро данных |
|---|---|---|---|---|---|
| AAA (TACACS/Radius) | Средний | High | High | High | Да |
| Active Directory (локальная среда) | High | High | High | High | нет |
| Журналы приложений | High | Средний | Средний | High | Да |
| Журналы AV (события Windows 5000s и сторонние) | Средний | High | High | High | нет |
| Активность Azure | Средний | High | High | High | нет |
| Журналы системы биометрического доступа | Low | Средний | Low | High | Да |
| Создание журналов системы безопасности | Low | Low | Low | Средний | Да |
| Логи колл-центра и VoIP | Средний | Low | Low | Средний | Да |
| CASB | High | High | High | High | Да |
| Citrix/Horizon/ALBS | Средний | Средний | Средний | High | Да |
| Управление доступом и идентификацией в облаке (Cloud IAM) | Средний | High | High | High | нет |
| Cloud PaaS | High | High | High | High | Да |
| Элементы управления облачной безопасностью | Средний | High | Средний | High | нет |
| Облачное хранилище (S3, Blob и т. д.) Логи | High | High | High | High | нет |
| Журналы аудита CRM | Низкий-Средний | Low | Low | Средний | Да |
| Средства аудита базы данных | Средний | High | High | High | Да |
| Журналы DHCP | Средний | Средний | Средний | High | Да |
| Оповещения защиты от потери данных | Low | High | High | High | Да |
| Журналы DNS | High | High | High | High | Да |
| Обнаружение и реагирование на конечной точке (EDR) (оповещения) | Средний | High | High | High | нет |
| Обнаружение и ответ конечной точки (EDR) (необработанный) | High | High | High | High | Да |
| Безопасность электронной почты (оповещения стороннего поставщика) | Средний | High | Средний | High | нет |
| Журналы аудита ERP | Низкий-Средний | Low | Low | Средний | Да |
| Целостность файлов | Low | Средний | Средний | High | Да |
| Угроза брандмауэра, вредоносные программы/IPS/IDS | High | High | High | High | нет |
| Журналы трафика брандмауэра | High | High | High | High | Да |
| Журналы репозитория кода GitHub/GitLab/Code | Низкий-Средний | Средний | Средний | High | Да |
| Журналы рабочей области Google | Средний | Средний | Средний | High | Да |
| Идентификация (Entra ID, Okta, LDAP) | Средний | High | High | High | нет |
| Журналы IIS и Apache | Средний | High | High | High | Да |
| Журналы устройств Интернета вещей | High | Средний | Средний | Средний | Да |
| Журналы Kubernetes/Container (оповещения, критически важные) | High | High | High | High | нет |
| Kubernetes/Container Logs (необработанные журналы) | High | High | High | High | Да |
| Коммутатор маршрутизатора локальной сети и глобальной сети | High | Средний | Средний | Средний | Да |
| Аудит сервера Linux | Средний | High | High | High | нет |
| Управление мобильными устройствами (Intune) | Средний | Средний | Средний | Средний | Да |
| Журналы Microsoft Office (Teams, Office, SharePoint) | Средний | Средний | Средний | High | нет |
| Оповещения Microsoft XDR (Защитник: Office, Identity, Endpoint, CloudApp) | Средний | High | High | High | нет |
| Многофакторная проверка подлинности (MFA) | Средний | High | Средний | High | нет |
| Netflow | High | Средний | High | Средний | Да |
| Обнаружение сети (Corelight, Vectra, Darktrace) | High | High | High | High | нет |
| Журналы системы OT/ICS | Средний | High | High | High | Да |
| PAM (управление привилегированным доступом) | Low | High | High | High | нет |
| PIM (управление привилегированными идентичностями) | Low | High | High | High | нет |
| Журналы системы POS | High | High | High | High | Да |
| Ведение журнала прокси-сервера (фильтрация URL-адресов) | High | High | High | High | Да |
| Журналы аудита Salesforce | Средний | Средний | Средний | High | Да |
| SD-WAN | Средний | Средний | Средний | Средний | Да |
| Журналы аудита ServiceNow | Low | Low | Low | Средний | Да |
| Журналы платформы SIEM/SOAR | Средний | High | High | High | нет |
| Логи совместной работы Slack и Teams | Средний | Low | Средний | Средний | Да |
| Sysmon (конечная точка для дополнения EDR) | Средний | High | High | High | Да |
| Индикаторы аналитики угроз | Low | High | High | High | нет |
| Журналы VDI | Средний | Средний | Средний | High | Да |
| VPN | Средний | High | High | High | нет |
| Сканирование уязвимостей | Low | Средний | Средний | Средний | Да |
| Журналы брандмауэра веб-приложений (WAF) | Средний | High | High | High | Да |
| События Windows Server | High | High | High | High | нет |
| Журналы источника XDR (Defender: Office, Identity, Endpoint, CloudApp) | Средний | High | High | High | нет |
| Логи собраний Zoom | Низкий-Средний | Low | Low | Средний | Да |