Condividi tramite

Che cos'è Il data lake di Microsoft Sentinel?

Il data lake di Microsoft Sentinel è un data lake di sicurezza nativo del cloud appositamente progettato che trasforma il modo in cui le organizzazioni gestiscono e analizzano i dati di sicurezza. Progettato come un vero data lake, inserisce, archivia e analizza grandi volumi di dati di sicurezza su larga scala. Centralizzando i dati di sicurezza in un'unica piattaforma open-format, estendibile, offre visibilità approfondita, conservazione a lungo termine e analisi avanzata.

Il data lake consente di inserire tutti i dati di sicurezza in Microsoft Sentinel in modo conveniente, eliminando la necessità di scegliere tra copertura e costi. È possibile conservare più dati per più tempo, rilevare le minacce con maggiore contesto e profondità cronologica e rispondere più velocemente senza compromettere la sicurezza.

Il data lake di Microsoft Sentinel è completamente gestito, quindi non è necessario distribuire o gestire l'infrastruttura dati. Fornisce una piattaforma dati unificata per l'analisi e la risposta delle minacce end-to-end. Archivia una singola copia dei dati di sicurezza tra asset, log attività e intelligence sulle minacce nel lake e sfrutta più strumenti di analisi, ad esempio KQL e Jupyter notebook per l'analisi approfondita della sicurezza.

Le soluzioni SIEM tradizionali lottano con i costi e la complessità dell'archiviazione e dell'esecuzione di query sui dati di sicurezza a lungo termine. Il data lake di Microsoft Sentinel risolve questi problemi nei modi seguenti:

  • Unificazione dei dati di sicurezza attraverso Microsoft Defender XDR, fonti e risorse di terze parti, registri delle attività e analisi delle minacce.
  • Ottimizzazione dei costi con l'archiviazione a livelli, l'innalzamento di livello dei dati su richiesta e una singola copia dei dati
  • Abilita approfondimenti sulla sicurezza con fino a 12 anni di dati di sicurezza e telemetria, che puoi interrogare e analizzare.
  • Potenza dell'intelligenza artificiale e dell'automazione per un rilevamento e una risposta più rapidi.

Con una singola copia dei dati, usa KQL per eseguire query e notebook Jupyter con sofisticate librerie Python e strumenti di Machine Learning per eseguire analisi più approfondite nelle analisi forensi, nella risposta agli incidenti e nel rilevamento delle anomalie.

Architecture

Il data lake di Microsoft Sentinel, basato sull'infrastruttura scalabile di Azure, facilita l'inserimento centralizzato, l'analisi e l'azione in diverse origini dati. L'architettura tecnica del data lake di Microsoft Sentinel include i vantaggi principali seguenti:

  • File di dati Parquet in formato aperto per interoperabilità ed estendibilità
  • Singola copia dei dati per un'archiviazione efficiente e conveniente
  • Separazione dell'archiviazione e del calcolo per una maggiore flessibilità
  • Supporto per più motori di analisi per sbloccare informazioni dettagliate dai dati di sicurezza
  • Integrazione nativa con SIEM di Microsoft Sentinel e i relativi flussi di lavoro per le operazioni di sicurezza

Livelli di archiviazione

Microsoft Sentinel è progettato con due livelli di archiviazione distinti per ottimizzare i costi e le prestazioni:

  • Livello di analisi: il livello dati di Microsoft Sentinel esistente che supporta la ricerca avanzata, gli avvisi e la gestione degli eventi imprevisti per identificare e risolvere in modo proattivo i problemi nell'infrastruttura e nelle applicazioni. Questo livello è progettato per l'analisi ad alte prestazioni e l'elaborazione dei dati in tempo reale.
  • Livello Data Lake: fornisce un'archiviazione centralizzata a lungo termine per l'esecuzione di query e l'analisi avanzata basata su Python. È progettato per una conservazione conveniente di grandi volumi di dati di sicurezza per un massimo di 12 anni. I dati nel livello di analisi vengono rispecchiati nel livello lake, mantenendo una singola copia dei dati.

Per altre informazioni sui livelli di dati e sulla conservazione, vedere Gestire i livelli dati e la conservazione nel portale di Microsoft Defender.

Origini dati supportate

Il data lake di Microsoft Sentinel funziona con tutti i connettori dati sentinel esistenti, tra cui:

  • Tutte le origini dati di Microsoft Defender e Microsoft Sentinel
  • Microsoft 365
  • Microsoft Entra ID
  • Microsoft Resource Graph
  • Piattaforme EDR (Endpoint Detection and Response)
  • Log del firewall e della rete
  • Telemetria dell'infrastruttura cloud e del carico di lavoro
  • Log di identità e accesso (Microsoft Entra, Okta e così via)
  • Telemetria DNS, proxy ed e-mail

Query flessibili con il linguaggio di query Kusto

Le query del linguaggio Kusto Query Language (KQL) per l'esplorazione di Data Lake consentono di scrivere ed eseguire query sulle risorse di Data Lake. Usare l'editor di query per esplorare i dati, analizzare il data lake e creare attività che trasferiscono i dati dal livello data lake al livello di analisi. Le query KQL offrono le funzionalità principali seguenti:

  • Editor di query KQL: fornisce modifiche ed esecuzione di query KQL con IntelliSense e completamento automatico.
  • Supporto completo per KQL: usare l'intera gamma di funzionalità KQL, incluse le funzioni di Machine Learning e l'analisi avanzata.
  • Creazione di processi: creare processi una tantum o pianificati per promuovere i dati dal lake al livello di analisi.

Per altre informazioni, vedere KQL e Il data lake di Microsoft Sentinel.

Screenshot dell'editor di query KQL nel data lake di Microsoft Sentinel.

Analisi avanzata con notebook di Jupyter

I notebook di Jupyter nel data lake di Microsoft Sentinel offrono un ambiente potente per l'analisi dei dati e l'apprendimento automatico. Usare le librerie Python per compilare ed eseguire modelli di Machine Learning, eseguire analisi avanzate e visualizzare i dati. I notebook supportano visualizzazioni avanzate, consentendo di ottenere informazioni dettagliate dai dati di sicurezza. Pianificare i notebook per riepilogare regolarmente i dati, eseguire modelli di Machine Learning e promuovere i dati dal livello Data Lake al livello di analisi.

Per altre informazioni, vedere Notebook di Jupyter nel data lake di Microsoft Sentinel.

Screenshot di un notebook di Jupyter che mostra l'analisi e la visualizzazione dei dati.

Controllo attività

Il data lake di Microsoft Sentinel fornisce il controllo che tiene traccia delle attività nel data lake. Il log di controllo acquisisce l'accesso ai dati, la gestione dei processi e gli eventi di query, consentendo di monitorare e analizzare le attività.

Alcune delle attività controllate sono:

  • Accedere ai dati nel data lake con query KQL
  • Esecuzione di notebook nel data lake
  • Creare, modificare, eseguire ed eliminare processi

Il controllo è abilitato per impostazione predefinita per il data lake di Microsoft Sentinel. Le azioni controllate vengono visualizzate nel log di controllo.

Per ulteriori informazioni sulle attività del data lake sottoposto ad audit, vedere Log di controllo per il data lake di Microsoft Sentinel.

Regioni supportate

Per le aree supportate, vedere Aree supportate per Il data lake di Microsoft Sentinel .

Get started

Per iniziare a usare Il data lake di Microsoft Sentinel, seguire questa procedura nella guida all'onboarding. Per altre informazioni sull'uso del data lake di Microsoft Sentinel, vedere gli articoli seguenti: