Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Озеро данных Microsoft Sentinel — это репозиторий на уровне клиента для сбора, хранения и управления большими объемами данных, связанных с безопасностью, из различных источников. Она обеспечивает комплексный, унифицированный анализ и видимость в области безопасности. Microsoft Sentinel graph — это единая функция графа в платформе Microsoft Sentinel, обеспечивающая возможности на основе графов в области безопасности, соответствия требованиям, идентификации и всей экосистемы. Эти решения используют расширенную аналитику, машинное обучение, графы и ИИ, чтобы помочь выявлять угрозы, исследовать инциденты и реагировать на них, а также повысить общую безопасность.
Озеро данных (хранилище данных) и графы данных Microsoft Sentinel доступны в следующих решениях:
- Microsoft Defender XDR
- Исследования безопасности данных Microsoft Purview
- Управление внутренними рисками Microsoft Purview
Prerequisites
Это важно
Если ваша организация использует ключи Customer-Managed (CMK) для шифрования данных, помните, что CMK не полностью поддерживается для данных, хранящихся в озере данных Microsoft Sentinel. Все данные, передаваемые в озеро данных, такие как пользовательские таблицы или преобразованные данные, шифруются с помощью ключей, управляемых Корпорацией Майкрософт. Подключение к озеру данных Microsoft Sentinel может не полностью соответствовать политикам шифрования вашей организации или стандартам защиты данных.
Чтобы подключиться к озеру данных Microsoft Sentinel и графу в XDR Microsoft Defender, расследованиям безопасности данных и управлению рисками инсайдеров, необходимо выполнить следующие предварительные требования:
- Необходимо настроить Microsoft Defender (
security.microsoft.com) и Microsoft Sentinel. Не требуется лицензия XDR для Microsoft Defender, чтобы использовать озеро данных Microsoft Sentinel с Microsoft Sentinel в портале Microsoft Defender. - Существующая подписка Azure и группа ресурсов для настройки оплаты за озеро данных. Вы должны быть прямым владельцем подписки, быть владельцем подписки на уровне группы управления недостаточно. Вы можете использовать существующую подписку и группу ресурсов Microsoft Sentinel SIEM Azure или создать новую. Дополнительные сведения о выставлении счетов см. в статье "Планирование затрат" и сведения о ценах и выставлении счетов Microsoft Sentinel.
- Основная рабочая область Microsoft Sentinel, подключенная к порталу Microsoft Defender. Озеро данных размещено в том же регионе, что и основной рабочий регион для рабочей области Sentinel.
- Для подключения к озеру данных необходимо иметь права чтения для основной и других рабочих областей. К озеру данных присоединяются только рабочие области, которые находятся в том же регионе, что и основной регион рабочей области Sentinel.
- Если данные Microsoft 365 не находятся в том же регионе, что и озеро данных, подключившись к озеру данных, вы даёте согласие на интеграцию ваших данных Microsoft 365 в регион, где находится ваше озеро данных.
Note
Перед подключением проверьте доступность Microsoft Data Lake и Graph в вашем регионе, ссылаясь на географическую доступность и расположение данных в Microsoft Sentinel.
Другие предварительные требования для Microsoft Purview
Доступ участника к основной рабочей области Microsoft Sentinel для авторизации приема данных о действиях Microsoft 365 в основной рабочей области.
Установите и настройте следующие соединители данных для отправки данных в рабочую область Sentinel, подключенную к Defender:
- Microsoft 365. Для сборки графа необходимо собрать типы записей SharePoint.
- Идентификатор Microsoft Entra. Необходимо собирать журналы входов и события рисков пользователей.
Граф риска данных строится из данных, поступающих в озеро данных Sentinel, посредством соединителей для активности Office и журналов входа Entra.
Обязательные роли
Чтобы настроить выставление счетов и включить прием данных актива в озеро данных, необходимо назначить следующие роли учетной записи участника клиента:
- Владелец подписки Azure или соавтор подписки для настройки биллинга
- Глобальный администратор Microsoft Entra или администратор безопасности для авторизации приема данных из Microsoft Entra, Microsoft 365 и Azure
- Доступ на чтение ко всем пространствам для их подключения к озеру данных
Изменения, возникающие при интеграции с озером данных Sentinel и графовой базой данных
При подключении к озеру данных и графу процесс вносит следующие изменения:
Он подготавливает озеро данных для выбранной подписки и группы ресурсов.
Он создает озеро данных в том же регионе, что и рабочая область Sentinel.
Он присоединяет все рабочие области, подключенные к Defender, расположенные в том же регионе, что и основной регион рабочей области Sentinel, к озеру данных Microsoft Sentinel. Рабочие области, которые не подключены к Defender, не присоединены к хранилищу данных.
После активации озера данных Microsoft Sentinel данные на аналитическом уровне Microsoft Sentinel также доступны в озере данных Microsoft Sentinel с этого момента без дополнительной платы. Можно использовать существующие соединители рабочих областей Microsoft Sentinel для получения новых данных как для уровня аналитики, так и для уровня озера данных, или только для уровня озера данных.
При первом приеме данных или переключении приема данных между уровнями требуется от 90 до 120 минут, чтобы данные отображались в таблицах. После включения обработки для уровня озера данных, данные отображаются одновременно как в озере данных, так и в таблицах аналитического уровня.
Данные активов для следующих служб Microsoft автоматически передаются в системные таблицы озера данных Sentinel.
- Microsoft Entra
- Microsoft 365
- Azure Resource Graph (Граф ресурсов Azure)
Системные таблицы отображаются в пользовательском интерфейсе выбора рабочей области в средах исследования озера.
Если данные Microsoft 365 не находятся в том же регионе, что и озеро данных, подключившись к озеру данных, вы даёте согласие на интеграцию ваших данных Microsoft 365 в регион, где находится ваше озеро данных.
Настраивает возможности графа и использует данные на озере данных для улучшения анализа графа и поиска угроз в Defender.
Вы увидите новые функции для изучения Data Lake, управления таблицами, подключения данных, параметров, управления расходами и графов.
Если в настоящее время ваша организация использует Microsoft Sentinel Security Information and Event Management (SIEM), выставление счетов и цены на такие функции, как задания поиска и запросы, вспомогательные журналы и долгосрочное хранение (также известное как архив), переключается на счетчики выставления счетов на основе озера данных Microsoft Sentinel, что может потенциально увеличить ваши затраты.
Он интегрирует вспомогательные таблицы журналов в озеро данных Microsoft Sentinel. Вспомогательные таблицы журналов в подключенных рабочих областях Microsoft Defender, подключенные к озеру данных Microsoft Sentinel, становятся неотъемлемой частью озера данных, что делает их доступными для использования в интерфейсах озера данных, таких как запросы KQL и задания. После завершения подключения вспомогательные таблицы журналов больше не доступны в функции расширенного поиска в Microsoft Defender. Вместо этого, доступ к ним можно получить через KQL-запросы для исследования data lake на портале Defender.
Note
Вспомогательные таблицы журналов для подключенных рабочих областей Microsoft Defender недоступны из Microsoft Defender Advanced Hunting, если включено озеро данных.
Он создает управляемое удостоверение с префиксом
msg-resources-, за которым следует глобальный уникальный идентификатор (GUID). Это управляемое удостоверение требуется для функциональных возможностей озера данных. Удостоверение имеет роль читателя Azure для подписок, включённых в озеро данных. Не удаляйте необходимые разрешения из этого управляемого удостоверения. Чтобы включить создание пользовательской таблицы на уровне аналитики, назначьте роль участника Log Analytics этому удостоверению для соответствующих рабочих областей Log Analytics. Дополнительные сведения см. в разделе "Создание заданий KQL" в озере данных Microsoft Sentinel.
После подключения к озеру данных Microsoft Sentinel можно использовать следующие функции на портале Defender:
- Запросы KQL для исследования хранилища данных
- Задания озера данных Microsoft Sentinel
- Управление уровнями данных и хранением
- Управление затратами Microsoft Sentinel
- Анализ радиуса взрыва в расследованиях инцидентов
- Граф охоты в расширенной охоте
Вы также можете использовать следующие функции на портале решений Microsoft Purview после подключения к озеру данных:
- Графики риска данных в исследованиях безопасности данных
- Диаграммы рисков данных в системе "Управление внутренними рисками"
В этой статье описывается, как клиенты, использующие Microsoft Defender, исследования безопасности данных, управление внутренними рисками и Microsoft Sentinel могут подключиться к озеру данных Microsoft Sentinel. Новые клиенты Microsoft Sentinel могут следовать этой процедуре после первоначального подключения к этим решениям.
Исключение политики для подключения озера данных Microsoft Sentinel
При подключении озера данных Microsoft Sentinel существующие определения политики Azure могут блокировать развертывание необходимых ресурсов. Чтобы обеспечить успешное подключение без ущерба для соблюдения более общих политик, настройте исключение политики, охватывающее группу ресурсов, к которой вы подключаетесь.
В частности, исключите тип ресурса: Microsoft.SentinelPlatformServices/sentinelplatformservices
Это целевое исключение позволяет компонентам озера данных Sentinel правильно развертывать, сохраняя соответствие уже примененным политикам управления Azure.
Добавление и хранение данных во время подключения
Во время подключения озеро данных подготавливается в том же регионе , что и основная рабочая область Sentinel. Мы также можем автоматически включить данные ресурсов Microsoft Entra, Microsoft 365 и Azure Resource Graph. Если эти данные не находятся в том же регионе, что и озеро данных, то, интегрировав их в озеро данных, вы соглашаетесь на сбор и хранение этих данных в регионе, где находится ваше озеро данных, чтобы использовать их с озером данных Microsoft Sentinel и функциями графов. Данные активов доступны в системных таблицах, которые можно выбрать в пользовательском интерфейсе выбора рабочей области в интерфейсах исследования Lake. Дополнительные сведения см. в разделе "Географическая доступность и расположение данных" в Microsoft Sentinel.
Существующие рабочие области Microsoft Sentinel
Необходимо подключить основную рабочую область Microsoft Sentinel к порталу Defender, чтобы подключиться к озеру данных. Ваше озеро данных находится в том же регионе, что и основная рабочая область Sentinel. Вы можете подключить к порталу Defender другие рабочие области в том же регионе, что и основная рабочая область, для использования их в работе с озером данных. Если вы подключились к озеру данных, данные в рабочих областях Microsoft Sentinel, которые подключены к Defender и настроенные для использования с озером данных. Дополнительные сведения о подключении Microsoft Sentinel к порталу Defender см. в статье Connect Microsoft Sentinel на портале Microsoft Defender.
Вы не можете выбрать, какие конкретные рабочие области подключать к озеру данных. Все рабочие области, подключенные к Defender в том же регионе, что и основная рабочая область Sentinel, автоматически подключаются. Вы не можете самостоятельно отключить определенные рабочие области от озера данных. Если вы хотите отключить рабочую область, отправьте запрос на поддержку.
Отключение от озера данных и графа Microsoft Sentinel
Чтобы отключить хранилище данных и граф Microsoft Sentinel, отправьте запрос в службу поддержки.
Готовы приступить к работе?
Для получения пошаговых инструкций по подключению и настройке хранилища данных и графов Microsoft Sentinel в решениях Microsoft, см. следующие статьи: