Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Microsoft Sentinel Data Lake können Sie große Mengen an Low-Fidelity-Protokollen wie Firewall- oder DNS-Daten, Asset-Inventare und historische Datensätze bis zu 12 Jahre lang speichern und analysieren. Da Speicher und Berechnung entkoppelt sind, können Sie dieselbe Kopie von Daten mit mehreren Tools abfragen, ohne sie zu verschieben oder zu duplizieren.
Sie können Daten im Datensee mithilfe von Kusto Query Language (KQL) und Jupyter-Notizbüchern untersuchen, um eine breite Palette von Szenarien zu unterstützen, von der Bedrohungssuche und Untersuchungen bis hin zu Anreicherung und maschinellem Lernen.
In diesem Artikel werden die Kernkonzepte und Szenarien der Data Lake-Erkundung vorgestellt, häufige Anwendungsfälle hervorgehoben und die Interaktion mit Ihren Daten mithilfe vertrauter Tools veranschaulicht.
Interaktive KQL-Abfragen
Verwenden Sie Kusto Query Language (KQL), um interaktive Abfragen direkt auf dem Datensee über mehrere Arbeitsbereiche auszuführen.
Mithilfe von KQL können Analysten:
- Untersuchen und reagieren Sie mithilfe von historischen Daten: Verwenden Sie langfristige Daten im Datensee, um forensische Beweise zu sammeln, einen Vorfall zu untersuchen, Muster zu erkennen und auf Vorfälle zu reagieren.
- Bereichern Sie Untersuchungen mit Protokollen mit hohem Volumen: Nutzen Sie im Data Lake gespeicherte laute Daten oder Daten mit geringer Treue, um Kontext und Tiefe zu Sicherheitsuntersuchungen hinzuzufügen.
- Korrelieren Sie Bestands- und Protokolldaten im Data Lake: Abfragen von Bestandsbeständen und Identitätsprotokollen, um Benutzeraktivitäten mit Ressourcen zu verbinden und umfassendere Angriffe aufzudecken.
Verwenden Sie KQL-Abfragen unter Microsoft Sentinel>Data Lake-Erkundung im Defender-Portal, um ad-hoc interaktive KQL-Abfragen direkt auf langfristigen Daten auszuführen. Data Lake-Erkundung ist nach Abschluss des Onboarding-Prozesses verfügbar. KQL-Abfragen eignen sich ideal für SOC-Analysten, die Vorfälle untersuchen, bei denen sich Daten möglicherweise nicht mehr auf der Analyseebene befinden. Abfragen ermöglichen die forensische Analyse mithilfe vertrauter Abfragen, ohne Code neu zu schreiben. Informationen zu den ersten Schritten mit KQL-Abfragen finden Sie unter Data Lake Exploration – KQL-Abfragen.
KQL-Aufträge
KQL-Aufträge sind einmalige oder geplante asynchrone KQL-Abfragen zu Daten im Microsoft Sentinel-Data Lake. Aufträge sind nützlich für Untersuchungs- und Analyseszenarien, z. B.:
- Zeitintensive einmalige Abfragen für Incidentuntersuchungen und Incident Response (IR)
- Datenaggregationsaufgaben, die Anreicherungsworkflows mithilfe von Protokollen mit niedriger Genauigkeit unterstützen
- Abgleichsscans für historische TI-Daten (Threat Intelligence) zur retrospektiven Analyse
- Anomalieerkennungsscans, die ungewöhnliche Muster über mehrere Tabellen hinweg identifizieren
- Überführen Sie Daten vom Datensee in die Analyseebene, um die Untersuchung von Vorfällen oder die Korrelation von Protokollen zu ermöglichen.
Führen Sie einmalige KQL-Aufträge auf dem Data Lake aus, um bestimmte historische Daten von der Data-Lake-Ebene auf die Analyseebene zu verschieben; oder erstellen Sie benutzerdefinierte Zusammenfassungstabellen auf der Data-Lake-Ebene. Das Hochstufen von Daten ist nützlich für die Ursachenanalyse oder die Zero-Day-Erkennung bei der Untersuchung von Incidents, die über den Zeitraum der Analyseebene hinausgehen. Übermitteln Sie einen geplanten Auftrag auf Data Lake, um wiederkehrende Abfragen zu automatisieren, um Anomalien zu erkennen oder Basispläne mithilfe von historischen Daten zu erstellen. Bedrohungsjäger können dies verwenden, um ungewöhnliche Muster im Laufe der Zeit zu überwachen und Ergebnisse in Detektionssysteme oder Dashboards einzuspeisen. Weitere Informationen finden Sie unter Erstellen von Aufträgen im Microsoft Sentinel-Datensee und verwalten von Aufträgen im Microsoft Sentinel-Datensee.
Erkundungsszenarien
Die folgenden Szenarien veranschaulichen, wie KQL-Abfragen im Microsoft Sentinel-Datensee verwendet werden können, um Sicherheitsvorgänge zu verbessern:
| Szenario | Einzelheiten | Beispiel |
|---|---|---|
| Untersuchen von Sicherheitsvorfällen mit langfristigen historischen Daten | Sicherheitsteams müssen häufig über das Standardaufbewahrungsfenster hinausgehen, um den gesamten Umfang eines Vorfalls aufzudecken. | Ein SOC-Analyst der Stufe 3, der einen Brute-Force-Angriff untersucht, verwendet KQL-Abfragen gegen den Data Lake, um Daten abzufragen, die älter als 90 Tage sind. Nach der Identifizierung verdächtiger Aktivitäten vor über einem Jahr fördert der Analyst die Ergebnisse zur Analyseebene für eine tiefere Analyse und Vorfallkorrelation. |
| Erkennen von Anomalien und Erstellen von Verhaltensbaselines im Laufe der Zeit | Erkennungstechniker basieren auf historischen Daten, um Basispläne einzurichten und Muster zu identifizieren, die auf böswilliges Verhalten hinweisen können. | Ein Erkennungstechniker analysiert Anmeldeprotokolle über mehrere Monate, um Spitzen in aktivitäten zu erkennen. Durch die Planung eines KQL-Auftrags im Datensee erstellen sie einen Basisplan für Zeitreihen und ermitteln ein Muster, das mit dem Missbrauch von Anmeldeinformationen konsistent ist. |
| Anreichern von Untersuchungen mithilfe von Protokollen mit hohem Volumen und geringer Genauigkeit | Einige Protokolle sind für die Analyseebene zu laut oder voluminös, sind aber für die Kontextanalyse immer noch nützlich. | SOC-Analysten verwenden KQL zum Abfragen von Netzwerk- und Firewallprotokollen, die nur im Datensee gespeichert sind. Diese Protokolle sind zwar nicht Teil der Analyseebene, helfen jedoch, Warnungen zu validieren und während Untersuchungen unterstützende Nachweise bereitzustellen. |
| Mit flexiblem Daten-Tiering auf neue, aufkommende Bedrohungen reagieren | Wenn neue Bedrohungsintelligenz entsteht, müssen Analysten schnell auf historische Daten zugreifen und diese reagieren. | Ein Bedrohungsintelligenzanalyst reagiert auf einen neu veröffentlichten Bericht zur Bedrohungsanalyse, indem die vorgeschlagenen KQL-Abfragen im Data Lake ausgeführt werden. Nach der Erkennung relevanter Aktivitäten aus den letzten Monaten wird das erforderliche Protokoll in die Analyseebene befördert. Um die Erkennung in Echtzeit für zukünftige Detektionen zu ermöglichen, können die Stufenrichtlinien der relevanten Tabellen angepasst werden, um die aktuellsten Protokolle in die Analysestufe abzubilden. |
| Erkunden von Ressourcendaten aus Quellen, die über herkömmliche Sicherheitsprotokolle hinausgehen | Erweitern Sie die Untersuchung mithilfe des Bestandsbestands, z. B. Microsoft Entra-ID-Objekte und Azure-Ressourcen. | Analysten können KQL verwenden, um Identitäts- und Ressourcenressourceninformationen wie Microsoft Entra ID-Benutzer, Apps, Gruppen oder Azure Resources-Inventare abzufragen, um Protokolle für einen umfassenderen Kontext zu korrelieren, der vorhandene Sicherheitsdaten ergänzt. |