Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете настроить источники журналов для приема непосредственно на уровень озера данных без зеркального отображения на уровне аналитики. Прямой прием полезен, если у вас есть источники журналов большого объема, которые вы хотите сохранить для охоты и судебной экспертизы, но не нуждаетесь в оповещении в режиме реального времени.
Принимая эти источники непосредственно на уровень озера данных, вы избегаете затрат на прием на уровне аналитики, сохраняя доступ к данным для запросов KQL, записных книжек Spark и долгосрочного анализа. Эта статья поможет определить, какие источники журналов являются хорошими кандидатами для прямого приема озера данных на основе их значения для рабочих нагрузок обнаружения, охоты и исследования.
Настройте прямой прием озера данных на страницах настройки соединителя или на странице управления таблицами на портале Microsoft Defender. Дополнительные сведения см. в разделе Настройка параметров таблицы в Microsoft Sentinel.
Какие журналы следует принимать в озеро данных?
После подключения к Microsoft Sentinel data lake можно выбрать источники журналов для отправки на уровень озера данных, уровень аналитики или оба. Уровень аналитики оптимизирован для обнаружения и оповещений в режиме реального времени, а уровень озера данных оптимизирован для экономичного долгосрочного хранения и охоты. Используйте следующее руководство, чтобы определить, какие источники журналов следует принимать на каждом уровне на основе их значения для разных рабочих нагрузок безопасности.
Варианты использования уровня "Аналитика"
Уровень аналитики используется для приема данных журнала в Microsoft Sentinel рабочих областях, где можно выполнять правила аналитики, пользовательские обнаружения и динамические запросы. Прием источников журналов на уровень аналитики при необходимости:
- Обнаружение и корреляция в режиме реального времени: оповещение о критических событиях из конечных точек, систем идентификации, облачных элементов управления безопасностью и устройств периметра сети.
- Активное исследование инцидента. Выполняйте динамические запросы к текущим данным во время реагирования на инцидент.
- Сигналы высокой точности: прием источников с прямым значением обнаружения, таких как оповещения EDR, журналы привилегированного доступа, события проверки подлинности и индикаторы аналитики угроз.
Варианты использования уровня Data Lake
Уровень озера данных используется для хранения журналов с более низкой стоимостью для рабочих нагрузок, которые не требуют оповещений в режиме реального времени. Прием источников журналов на уровне озера данных при необходимости:
- Хранение больших объемов журналов. Храните источники, которые полезны для судебного анализа или периодических поисков угроз, но слишком затратны для хранения на уровне аналитики.
- Охота на угрозы. Выполните поиск в нескольких журналах, анализ тенденций и исторические запросы для выявления закономерностей в расширенных диапазонах времени.
- Пакетная аналитика и сводка. Используйте записные книжки Spark, KQL или аналогичные средства для обогащения, корреляции или сводных данных, а затем пересылки только высокоприоритетных сигналов на уровень аналитики.
- Машинное обучение и расширенная аналитика. Применяйте методы больших данных для выявления сложных связей и аномалий в исторических данных.
Правила аналитики и настраиваемые обнаружения
Вы не можете выполнять правила аналитики или пользовательские обнаружения для данных на уровне озера данных. При приеме журналов только на уровне озера данных эти журналы не создают оповещений. Чтобы обеспечить охват обнаружения в режиме реального времени, сохраняйте источники журналов с высокой точностью времени на уровне аналитики.
Выбор уровня приема по типу источника журнала
Используйте следующую таблицу в качестве общего руководства, чтобы решить, где принимать каждый тип источника журнала. Оцените собственные рабочие нагрузки, требования к оповещениям и устойчивость к рискам при настройке приема журналов. Некоторые источники журналов имеют выделенные соединители Microsoft Sentinel, в то время как для других могут потребоваться syslog, CEF, api-based или настраиваемые соединители для приема.
| Тип источника журнала | Стандартный том журнала | Значение для обнаружения угроз и оповещений в режиме реального времени | Значение для охоты на угрозы | Ценность для исследования инцидентов и судебной экспертизы | Подходят только для приема озера данных |
|---|---|---|---|---|---|
| AAA (TACACS/Radius) | Средняя | Высокая | Высокие | Высокие | Плохая посадка |
| Active Directory (локальная среда) | Высокие | Высокие | Высокие | Высокие | Плохая посадка |
| Журналы приложений | Высокий | Средний | Средний | Высокая | Подходящая посадка |
| Журналы AV (события Windows 5000s & стороннего) | Средняя | Высокая | Высокие | Высокие | Плохая посадка |
| Действия Azure | Средняя | Высокая | Высокие | Высокие | Плохая посадка |
| Журналы системы биометрического доступа | Низкая | Средняя | Низкие | Высокие | Подходящая посадка |
| Создание журналов системы безопасности | Низкий | Низкий | Низкая | Средняя | Подходящая посадка |
| Журналы центра обработки вызовов и VoIP | Средний | Низкий | Низкая | Средняя | Подходящая посадка |
| CASB | Высокие | Высокие | Высокие | Высокие | Подходящая посадка |
| Citrix/Horizon/ALBs | Средний | Средний | Средний | Высокая | Подходящая посадка |
| Облачный IAM | Средняя | Высокая | Высокие | Высокие | Плохая посадка |
| Cloud PaaS | Высокие | Высокие | Высокие | Высокие | Подходящая посадка |
| Элементы управления безопасностью облака | Средняя | Высокий | Средний | Высокая | Плохая посадка |
| Облачное хранилище (S3, BLOB-объект и т. д.) Журналы | Высокая | Низкие | Высокие | Высокие | Плохая посадка |
| Журналы аудита CRM | Low-Medium | Низкий | Низкая | Средняя | Плохая посадка |
| Средства аудита базы данных | Средняя | Высокая | Высокие | Высокие | Подходящая посадка |
| Журналы DHCP | Средний | Средний | Средний | Высокая | Подходящая посадка |
| Оповещения защиты от потери данных | Низкие | Высокие | Высокие | Высокие | Подходящая посадка |
| Журналы DNS | Высокие | Высокие | Высокие | Высокие | Подходящая посадка |
| Обнаружение и реагирование конечных точек (EDR) (оповещения) | Средняя | Высокая | Высокие | Высокие | Плохая посадка |
| Обнаружение и реагирование конечных точек (EDR) (необработанный) | Высокие | Высокие | Высокие | Высокие | Подходящая посадка |
| безопасность Email (сторонние оповещения) | Средняя | Высокий | Средний | Высокая | Плохая посадка |
| Журналы аудита ERP | Low-Medium | Низкий | Низкая | Средняя | Подходящая посадка |
| Целостность файлов | Низкая | Средняя | Средний | Высокая | Подходящая посадка |
| Угроза брандмауэра,вредоносная программа/IPS/IDS | Высокие | Высокие | Высокие | Высокие | Плохая посадка |
| Журналы трафика брандмауэра | Высокие | Высокие | Высокие | Высокие | Подходящая посадка |
| Журналы репозитория GitHub/GitLab/Code | Low-Medium | Средний | Средний | Высокая | Подходящая посадка |
| Журналы рабочей области Google | Средний | Средний | Средний | Высокая | Подходящая посадка |
| Удостоверение (Microsoft Entra ID, Okta, LDAP) | Средняя | Высокая | Высокие | Высокие | Плохая посадка |
| Журналы IIS/Apache | Средняя | Высокая | Высокие | Высокие | Подходящая посадка |
| Журналы устройств Интернета вещей | Высокий | Средний | Средний | Средний | Подходящая посадка |
| Kubernetes/журналы контейнеров (оповещения, критические) | Высокие | Высокие | Высокие | Высокие | Плохая посадка |
| Kubernetes/Журналы контейнеров (необработанные журналы) | Высокие | Высокие | Высокие | Высокие | Подходящая посадка |
| Коммутатор маршрутизатора локальной сети или глобальной сети | Высокий | Средний | Средний | Средний | Подходящая посадка |
| Аудит сервера Linux | Средняя | Высокая | Высокие | Высокие | Плохая посадка |
| Мобильные Управление устройствами (Microsoft Intune) | Средний | Средний | Средний | Средний | Подходящая посадка |
| Журналы Microsoft Office (Teams, Office, SharePoint) | Средний | Средний | Средний | Высокая | Плохая посадка |
| Оповещения Microsoft XDR (Defender: Office, Identity, Endpoint, CloudApp) | Средняя | Высокая | Высокие | Высокие | Плохая посадка |
| Многофакторная проверка подлинности (MFA) | Средняя | Высокий | Средний | Высокая | Плохая посадка |
| Netflow | Высокий | Средний | Высокий | Средний | Подходящая посадка |
| Обнаружение сети (Corelight, Vectra, Darktrace) | Высокие | Высокие | Высокие | Высокие | Плохая посадка |
| Системные журналы OT/ICS | Средняя | Высокая | Высокие | Высокие | Подходящая посадка |
| PAM (управление привилегированным доступом) | Низкие | Высокие | Высокие | Высокие | Плохая посадка |
| PIM (управление привилегированными пользователями) | Низкие | Высокие | Высокие | Высокие | Плохая посадка |
| Системные журналы POS | Высокие | Высокие | Высокие | Высокие | Подходящая посадка |
| Ведение журнала прокси-сервера (фильтрация URL-адресов) | Высокие | Высокие | Высокие | Высокие | Подходящая посадка |
| Журналы аудита Salesforce | Средний | Средний | Средний | Высокая | Подходящая посадка |
| SD-WAN | Средний | Средний | Средний | Средний | Подходящая посадка |
| Журналы аудита ServiceNow | Низкий | Низкий | Низкая | Средняя | Подходящая посадка |
| Журналы платформы SIEM/SOAR | Средняя | Высокая | Высокие | Высокие | Не рекомендуется |
| Журналы совместной работы Slack и Teams | Средний | Низкая | Средняя | Средний | Подходящая посадка |
| Sysmon (конечная точка, для дополнения к EDR) | Средняя | Высокая | Высокие | Высокие | Подходящая посадка |
| Индикаторы аналитики угроз | Низкие | Высокие | Высокие | Высокие | Не рекомендуется |
| Журналы VDI | Средний | Средний | Средний | Высокая | Подходящая посадка |
| VPN | Средняя | Высокая | Высокие | Высокие | Не рекомендуется |
| Сканирование уязвимостей | Низкая | Средняя | Средний | Средний | Подходящая посадка |
| журналы Брандмауэр веб-приложений (WAF) | Средняя | Высокая | Высокие | Высокие | Подходящая посадка |
| События Windows Server | Высокие | Высокие | Высокие | Высокие | Не рекомендуется |
| Исходные журналы XDR (Defender: Office, Identity, Endpoint, CloudApp) | Средняя | Высокая | Высокие | Высокие | Не рекомендуется |
| Увеличение масштаба журналов собраний | Low-Medium | Низкий | Низкая | Средняя | Подходящая посадка |