Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Озеро данных Microsoft Sentinel — это репозиторий на уровне клиента для сбора, хранения и управления большими объемами данных, связанных с безопасностью, из различных источников. Это обеспечивает комплексный, унифицированный анализ и видимость в вашей области безопасности. Microsoft Sentinel граф — это единая графовая возможность в Microsoft Sentinel платформы, основанная на графах, в области безопасности, соответствия требованиям, удостоверений и всей экосистемы. Эти решения используют расширенную аналитику, машинное обучение, графы и ИИ для обнаружения угроз, исследования инцидентов и реагирования на них, а также для улучшения общего состояния безопасности.
Microsoft Sentinel озера данных и графа доступны в следующих решениях:
- Microsoft Defender XDR
- Исследования по безопасности данных Microsoft Purview
- Управление внутренними рисками Microsoft Purview
Предварительные требования
Важно!
Если ваша организация использует ключи Customer-Managed (CMK) для шифрования данных, имейте в виду, что CMK не поддерживается для данных, хранящихся в озере данных Microsoft Sentinel. Sentinel рабочие области, применяющие CMK, недоступны через интерфейс озера данных.
Все данные, попадающие в озеро данных, такие как пользовательские таблицы или преобразованные данные, шифруются с помощью ключей, управляемых Корпорацией Майкрософт.
Подключение к Microsoft Sentinel озера данных может не полностью соответствовать политикам шифрования или стандартам защиты данных вашей организации.
Чтобы подключиться к озеру данных и графу Microsoft Sentinel в Microsoft Defender XDR, Исследования по безопасности данных и управлении внутренними рисками, необходимо выполнить следующие предварительные требования:
- необходимо настроить Microsoft Defender (
security.microsoft.com) и Microsoft Sentinel. Лицензия Microsoft Defender XDR не требуется для использования Microsoft Sentinel озера данных с Microsoft Sentinel на портале Microsoft Defender. - Существующая Azure подписку и группу ресурсов для настройки выставления счетов для озера данных. Вы должны быть прямым владельцем подписки. Быть владельцем подписки уровня группы управления недостаточно. Вы можете использовать существующие Microsoft Sentinel SIEM Azure подписку и группу ресурсов или создать новую. Дополнительные сведения о выставлении счетов см. в статье Планирование затрат и сведения о Microsoft Sentinel ценообразования и выставления счетов.
- основная рабочая область Microsoft Sentinel, подключенная к порталу Microsoft Defender. Озеро данных подготовлено в том же регионе, что и основной регион рабочей области Sentinel.
- У вас должны быть права на чтение для основной и других рабочих областей, чтобы их можно было подключить к озеру данных. К озеру данных подключены только рабочие области, расположенные в том же регионе, что и основной регион рабочей области Sentinel.
- Если данные Microsoft 365 находятся не в том же регионе, что и озеро данных, при подключении к озеру данных вы даете согласие на прием данных Microsoft 365 в регион, где находится ваше озеро данных.
Примечание.
Перед подключением проверка доступность Microsoft Data Lake и Graph в вашем регионе, сославшись на географическую доступность и расположение данных в Microsoft Sentinel.
Другие предварительные требования для Microsoft Purview
Доступ участника к основной рабочей области Microsoft Sentinel для авторизации приема данных о действиях Microsoft 365 в основную рабочую область.
Установите и настройте следующие соединители данных для отправки данных в рабочую область Sentinel, подключенную к Defender:
- Microsoft 365. Для построения графа необходимо собирать типы записей SharePoint.
- Microsoft Entra ID. Необходимо собирать журналы Sign-In и события риска пользователей.
Граф риска данных создается на основе данных, поступающих в Sentinel озера данных через соединители для действий Office и Entra журналов входа.
Необходимые роли
Чтобы настроить выставление счетов и включить прием данных активов в озеро данных, учетной записи участника клиента необходимо назначить следующие роли:
- Azure владелец подписки или участник подписки для настройки выставления счетов
- Microsoft Entra глобального администратора или администратора безопасности для авторизации приема данных из Microsoft Entra, Microsoft 365 и Azure
- Доступ на чтение для всех рабочих областей для включения их вложения в озеро данных
Изменения, происходящие при подключении к Sentinel озера данных и графа
При подключении к озеру данных и графу процесс вносит следующие изменения:
Он подготавливает озеро данных для выбранной подписки и группы ресурсов.
Он подготавливает озеро данных в том же регионе, что и основная рабочая область Sentinel.
Он присоединяет все рабочие области, подключенные к Defender, расположенные в том же регионе, что и основной регион рабочей области Sentinel, к Microsoft Sentinel озеру данных. Рабочие области, которые не подключены к Defender, не подключены к озеру данных.
После включения Microsoft Sentinel озера данных данные на уровне аналитики Microsoft Sentinel также будут доступны на уровне озера данных Microsoft Sentinel с этого момента без дополнительной платы. Существующие соединители рабочих областей Microsoft Sentinel можно использовать для приема новых данных на уровнях аналитики и озера данных или только на уровне озера данных.
При включении приема данных в первый раз или переключении приема между уровнями данные отображаются в таблицах от 90 до 120 минут. После включения приема для уровня озера данных данные отображаются одновременно в озере данных и в таблицах уровня аналитики.
Данные ресурсов для следующих служб Майкрософт автоматически попадают в системные таблицы Sentinel data lake.
- Microsoft Entra
- Microsoft 365
- Azure Resource Graph
Системные таблицы отображаются в пользовательском интерфейсе выбора рабочей области в интерфейсе просмотра Озера.
Если данные Microsoft 365 находятся не в том же регионе, что и озеро данных, при подключении к озеру данных вы даете согласие на прием данных Microsoft 365 в регион, где находится ваше озеро данных.
Он подготавливает возможности графа и использует данные в озере данных для расширения возможностей исследования графов и охоты в Defender.
Вы увидите новые возможности для просмотра озера, управления таблицами, соединителей данных, параметров, управления затратами и графа.
Если в настоящее время ваша организация использует Microsoft Sentinel управления информационной безопасностью и событиями безопасности (SIEM), выставление счетов и цены на такие функции, как поисковые задания и запросы, вспомогательные журналы и долгосрочное хранение (также известное как "архив"), переключитесь на Microsoft Sentinel счетчики выставления счетов на основе озера данных, что может привести к увеличению затрат.
Он интегрирует вспомогательные таблицы журналов в озеро данных Microsoft Sentinel. Вспомогательные таблицы журналов в Microsoft Defender подключенных рабочих областях, подключенных к озеру данных Microsoft Sentinel, становятся неотъемлемой частью озера данных, что делает их доступными для использования в интерфейсах озера данных, таких как запросы KQL и задания. После подключения вспомогательные таблицы журналов больше не доступны в Microsoft Defender Расширенной охоты. Вместо этого вы можете получить к ним доступ с помощью запросов KQL для исследования озера данных на портале Defender.
Примечание.
Вспомогательные таблицы журналов для Microsoft Defender подключенных рабочих областей недоступны из Microsoft Defender Расширенной охоты после включения озера данных.
Он создает управляемое удостоверение с префиксом
msg-resources-, за которым следует глобальный уникальный идентификатор (GUID). Это управляемое удостоверение требуется для функциональных возможностей озера данных. Удостоверение имеет роль читателя Azure по подпискам, подключенным к озеру данных. Не удаляйте необходимые разрешения для этого управляемого удостоверения. Чтобы включить пользовательское создание таблиц на уровне аналитики, назначьте этому удостоверению роль Участник Log Analytics для соответствующих рабочих областей Log Analytics. Дополнительные сведения см. в статье Создание заданий KQL в Microsoft Sentinel озера данных.
После подключения к озеру данных Microsoft Sentinel вы можете использовать следующие функции на портале Defender:
- Запросы KQL для исследования озера данных
- Microsoft Sentinel задания озера данных
- Управление уровнями данных и хранением
- управление затратами Microsoft Sentinel
- Анализ радиуса взрыва при расследовании инцидентов
- График охоты в расширенной охоте
Вы также можете использовать следующие функции на портале решений Microsoft Purview после подключения к озеру данных:
- Графы риска данных в Исследования по безопасности данных
- Графы рисков данных в управлении внутренними рисками
В этой статье описывается, как клиенты, использующие Microsoft Defender, Исследования по безопасности данных, управление внутренними рисками и Microsoft Sentinel, могут подключиться к озеру данных Microsoft Sentinel. Клиенты новых Microsoft Sentinel могут выполнить эту процедуру после первоначального подключения к этим решениям.
Исключение политики для подключения Microsoft Sentinel озера данных
Во время подключения Microsoft Sentinel озера данных существующие определения Политика Azure могут блокировать развертывание необходимых ресурсов. Чтобы обеспечить успешное подключение без ущерба для более широкого применения политик, настройте исключение политики, ограниченное группой ресурсов, которую вы выполняете.
В частности, исключите тип ресурса: Microsoft.SentinelPlatformServices/sentinelplatformservices.
Это целевое исключение позволяет правильно развертывать компоненты озера данных Sentinel, обеспечивая при этом соответствие ранее примененным политикам управления Azure.
Добавление и хранение данных во время подключения
Во время подключения озеро данных подготавливается в том же регионе, что и основная рабочая область Sentinel. Мы также можем автоматически включить Microsoft Entra, Microsoft 365 и Azure Resource Graph данных ресурсов. Если эти данные находятся не в том же регионе, что и озеро данных, при подключении к озеру данных вы даете согласие на прием и хранение этих данных в регионе, где находится ваше озеро данных, чтобы использовать их с Microsoft Sentinel озера данных и графов. Данные активов доступны в системных таблицах, которые можно выбрать в пользовательском интерфейсе выбора рабочей области в интерфейсе просмотра Озера. Дополнительные сведения см. в статье Географическая доступность и расположение данных в Microsoft Sentinel.
Существующие рабочие области Microsoft Sentinel
Чтобы подключиться к озеру данных, необходимо подключить основную рабочую область Microsoft Sentinel к порталу Defender. Озеро данных находится в том же регионе, что и основная рабочая область Sentinel. Вы можете подключить другие рабочие области в том же регионе, что и основная рабочая область, к порталу Defender, чтобы использовать их с озером данных. При подключении к озеру данных данные в Microsoft Sentinel рабочих областях, подключенных к Defender и включенных для использования с озером данных. Дополнительные сведения о подключении Microsoft Sentinel к порталу Defender см. в статье Подключение Microsoft Sentinel к порталу Microsoft Defender.
Вы не можете выбрать рабочие области для подключения к озеру данных. Все рабочие области, подключенные к Defender, в том же регионе, что и основная рабочая область Sentinel, подключаются автоматически. Вы не можете самостоятельно отключить определенные рабочие области из озера данных. Если вы хотите отключить рабочую область, отправьте запрос на поддержку.
Отключение от Microsoft Sentinel озера данных и графа
Чтобы отключить Microsoft Sentinel озера данных и графа, отправьте запрос на поддержку.
Готовы приступить к работе?
Пошаговые инструкции по подключению и настройке Microsoft Sentinel озера данных и графа в решениях Майкрософт см. в следующих статьях: