Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Озеро данных Microsoft Sentinel отражает данные из рабочих областей Microsoft Sentinel. При подключении к Microsoft Sentinel data lake существующие соединители данных Microsoft Sentinel настраиваются для отправки данных на уровень аналитики — в рабочие области Microsoft Sentinel и зеркало данные на уровень озера данных для долгосрочного хранения. После подключения настройте соединители для хранения данных на каждом уровне в соответствии с вашими требованиями.
В этой статье объясняется, как настроить соединители для Microsoft Sentinel озера данных и настроить хранение. Дополнительные сведения о подключении см. в статье Подключение к Microsoft Sentinel озера данных.
Настройка хранения и распределения по уровням данных
После подключения можно включить новые соединители и настроить хранение для существующих соединителей. Вы можете отправить данные на уровень аналитики и зеркало данные на уровень озера данных или только на уровень озера данных. Вы управляете хранением и распределения по уровням на страницах настройки соединителя или с помощью страницы управления таблицами на портале Defender. Дополнительные сведения об управлении таблицами и хранении см. в статье Управление уровнями данных и хранением на портале Microsoft Defender.
При включении соединителя данные по умолчанию отправляются на уровень аналитики и отражаются на уровне озера данных. При включении Microsoft Sentinel озера данных зеркальное отображение автоматически включается для всех таблиц с момента подключения вперед. Зеркальные данные в озере данных с тем же хранением, что и на уровне аналитики, не взимается дополнительная плата за выставление счетов. Существующие данные в таблицах не зеркально отображаются. Уровень хранилища озера данных имеет то же значение, что и уровень аналитики. Вы можете переключиться на прием данных только на уровень озера данных. При настройке приема только на уровне озера данных прием на уровень аналитики прекращается, а существующие данные на уровне аналитики сохраняются в соответствии с параметрами хранения.
Данные, сохраненные в Архив, по-прежнему доступны и могут быть восстановлены с помощью функций поиска и восстановления.
Сведения о настройке хранения и распределения по уровням для соединителя данных см . в статье Настройка соединителя данных.
Microsoft Sentinel данных XDR
По умолчанию Microsoft Defender XDR хранит данные об охоте на угрозы на уровне "Аналитика" в течение 30 дней. Эти данные всегда доступны. Некоторые таблицы XDR можно принимать на уровнях аналитики и озера данных, увеличив время хранения до более чем 30 дней. Вы также можете принимать данные XDR непосредственно на уровень озера данных без уровня аналитики. Дополнительные сведения см. в статье Управление данными XDR в Microsoft Sentinel.
Пользовательские таблицы журналов
Настраиваемые таблицы агента мониторинга (MMA) и агента log analytics (CLV1) не отражаются в озере данных.
Таблицы, созданные с помощью API приема журналов или агента мониторинга Azure (AMA) и пользовательских таблиц на основе DCR, зеркально отображаются. Дополнительные сведения см. в разделе API приема журналов в Azure Monitor.
Вспомогательные таблицы журналов
При подключении к Microsoft Defender и Microsoft Sentinel, а затем при подключении к озеру данных вспомогательные таблицы журналов больше не отображаются в разделе "Расширенная охота" Microsoft Defender или в Microsoft Sentinel портал Azure. Данные вспомогательной таблицы доступны в озере данных, и вы можете запросить их с помощью запросов KQL или записных книжек Jupyter. Найдите запросы KQL в разделе просмотр озера Microsoft Sentinel>Data на портале Defender.
Прямой прием в озеро данных
Вы можете принимать данные непосредственно в озеро данных Microsoft Sentinel, не перенаправляя их через уровень аналитики. Этот подход полезен, если требуется хранить данные безопасности для долгосрочного анализа без затрат на соответствующий уровень аналитики. Дополнительные сведения см. в разделе Прямой прием журналов в озеро данных Microsoft Sentinel.