Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для рабочих областей Microsoft Sentinel, подключенных к Defender, управление уровнями доступа и хранением осуществляется через новый интерфейс управления таблицами на портале Defender. Для неподключенных рабочих областей Microsoft Sentinel продолжайте использовать описанные ниже возможности для управления данными в рабочих областях.
Существует два конкурирующих аспекта сбора журналов и хранения, которые критически важны для успешной программы обнаружения угроз. С одной стороны, вы хотите максимально увеличить количество собранных источников журналов, чтобы обеспечить максимально полное покрытие безопасности. С другой стороны, необходимо свести к минимуму расходы, связанные с приемом всех этих данных.
Для этих конкурирующих потребностей требуется стратегия управления журналами, которая балансирует доступность данных, производительность запросов и затраты на хранение.
В этой статье рассматриваются категории данных и состояния хранения, используемые для хранения и доступа к данным. Он также описывает уровни логов, которые Microsoft Sentinel предлагает вам для создания стратегии управления и хранения логов.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Категории поглощенных данных
Корпорация Майкрософт рекомендует классифицировать данные в Microsoft Sentinel на две общие категории:
Основные данные безопасности — это данные, содержащие критическое значение безопасности. Эти данные используются для упреждающего мониторинга в режиме реального времени, запланированных оповещений и аналитики для обнаружения угроз безопасности. Данные должны быть легко доступны для всех интерфейсов Microsoft Sentinel в практически реальном времени.
Вторичные данные безопасности — это дополнительные данные, которые часто содержатся в больших объемах и предоставляются в виде подробных журналов. Эти данные имеют ограниченную ценность для безопасности, но они могут обеспечить дополнительное богатство и контекст для обнаружения и расследований, помогая создать полное представление об инциденте безопасности. Он не должен быть легкодоступен, но должен быть доступен по требованию по мере необходимости и в соответствующих дозах.
Основные данные безопасности
Эта категория состоит из журналов, которые содержат критическое значение безопасности для вашей организации. Основные варианты использования данных безопасности для операций безопасности:
Частый мониторинг. Правила обнаружения угроз (аналитики) выполняются в этих данных с частыми интервалами или практически в режиме реального времени.
Охота по запросу. Сложные запросы запускаются на этих данных с целью проведения интерактивного, высокопроизводительного поиска угроз безопасности.
Корреляция. Данные из этих источников коррелируются с данными из других основных источников данных безопасности для обнаружения угроз и создания историй атак.
Регулярные отчеты. Данные из этих источников легко доступны для составления регулярных отчетов о состоянии безопасности организации как для специалистов по безопасности, так и для руководителей и общих лиц, принимающих решения.
Аналитика поведения. Данные из этих источников используются для создания базовых профилей поведения ваших пользователей и устройств, что позволяет выявлять отклоняющееся поведение как подозрительное.
Ниже приведены некоторые примеры основных источников данных:
- Журналы из антивирусных или корпоративных систем обнаружения и реагирования (EDR)
- Журналы проверки подлинности
- Аудиторские следы на облачных платформах
- Потоки разведывательной информации об угрозах
- Оповещения из внешних систем
Журналы, содержащие основные данные безопасности, должны храниться с помощью уровня аналитики.
Вторичные данные безопасности
Эта категория охватывает журналы, отдельные значения безопасности которых ограничены, но являются важными для предоставления комплексного представления инцидента безопасности или нарушения безопасности. Как правило, эти логи имеют большой объем и могут быть подробными. Ниже приведены варианты использования операций безопасности для этих данных:
Аналитика угроз. Основные данные можно проверить на наличие списков индикаторов компрометации (IoC) или индикаторов атак (IoA), чтобы быстро и легко обнаруживать угрозы.
Нерегламентированная охота и расследования. Данные можно запрашивать в интерактивном режиме в течение 30 дней, упрощая важный анализ для поиска угроз и расследований.
Крупномасштабные поиски. Данные можно загружать и искать в фоновом режиме на масштабе петабайтов, при этом они хранятся эффективно и с минимальной обработкой.
Суммирование с помощью заданий KQL. Обобщение объемных журналов в агрегированную информацию и сохранение результатов на аналитическом уровне.
Примерами источников дополнительных журналов данных являются журналы доступа к облачному хранилищу, журналы NetFlow, журналы TLS/SSL-сертификатов, журналы брандмауэра, журналы прокси-сервера и журналы Интернета вещей.
Для журналов, содержащих вторичные данные безопасности, используйте озеро данных Microsoft Sentinel, которое предназначено для обеспечения расширенной масштабируемости, гибкости и интеграции для расширенных сценариев безопасности и соответствия требованиям.
Уровни управления журналами
Microsoft Sentinel предоставляет два разных уровня или типа хранилища журналов, чтобы учесть эти категории поглощённых данных.
План уровня аналитики предназначен для хранения основных данных безопасности и обеспечения его легкой и постоянной доступности при высокой производительности.
Уровень озера данных оптимизирован для экономичного хранения вторичных данных безопасности в течение длительных периодов, сохраняя доступность.
Уровень аналитики
Уровень аналитики хранит данные в интерактивном состоянии хранения в течение 90 дней по умолчанию, расширяемый до двух лет. Это интерактивное состояние, в то время как дорогое, позволяет запрашивать данные неограниченной производительностью без оплаты за запрос.
Уровень хранилища данных
Озеро данных Microsoft Sentinel — это полностью управляемое, современное хранилище данных, которое объединяет и сохраняет данные безопасности в масштабе, обеспечивая расширенную аналитику в нескольких модальностях и обнаружение угроз с помощью агентных технологий ИИ. Она позволяет группам безопасности исследовать долгосрочные угрозы, дополнять оповещения и создавать базовые показатели поведения с помощью месяцев данных.
Если общий срок хранения настроен на дольше, чем срок хранения уровня аналитики, или когда срок хранения уровня аналитики истекает, данные, хранящиеся за пределами уровня аналитики, по-прежнему будут доступны на уровне озера данных.
Связанный контент
- Дополнительные сведения о озере данных Microsoft Sentinel см. в разделе Озера данных Microsoft Sentinel.
- Чтобы подключить данные к озеру данных Microsoft Sentinel, см. раздел "Подключение данных к озеру данных Microsoft Sentinel".