Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Com o data lake do Microsoft Sentinel, você pode armazenar e analisar logs de alto volume e baixa fidelidade, como dados de firewall ou DNS, inventários de ativos e registros históricos por até 12 anos. Como o armazenamento e a computação são dissociados, você pode consultar a mesma cópia de dados usando várias ferramentas, sem movê-la ou duplicá-la.
Você pode explorar dados no data lake usando Kusto Query Language (KQL) e Jupyter Notebooks, para suportar uma ampla gama de cenários, desde caça a ameaças e investigações até enriquecimento e aprendizado de máquina.
Este artigo apresenta os principais conceitos e cenários da exploração do data lake, destaca casos de uso comuns e mostra como interagir com seus dados usando ferramentas familiares.
Consultas interativas do KQL
Use Kusto Query Language (KQL) para executar consultas interativas diretamente no data lake em vários espaços de trabalho.
Usando o KQL, os analistas podem:
- Investigue e responda usando dados históricos: use dados de longo prazo no data lake para coletar evidências forenses, investigar um incidente, detetar padrões e responder a incidentes.
- Enriqueça as investigações com logs de alto volume: aproveite dados barulhentos ou de baixa fidelidade armazenados no data lake para adicionar contexto e profundidade às investigações de segurança.
- Correlacione dados de ativos e logs no data lake: consulte inventários de ativos e logs de identidade para conectar a atividade do usuário aos recursos e descobrir ataques mais amplos.
Use consultas KQL na exploração do Microsoft Sentinel>Data lake no portal do Defender para executar consultas KQL interativas ad-hoc diretamente em dados de longo prazo. A exploração do data lake estará disponível após a conclusão do processo de integração. As consultas KQL são ideais para analistas SOC que investigam incidentes em que os dados podem não residir mais na camada de análise. As consultas permitem a análise forense usando consultas familiares sem reescrever código. Para começar a usar consultas KQL, consulte Exploração de data lake - consultas KQL.
Vagas de KQL
Os trabalhos KQL são consultas KQL assíncronas únicas ou agendadas em dados no data lake do Microsoft Sentinel. Os trabalhos são úteis para cenários investigativos e analíticos, por exemplo;
- Consultas únicas de longa duração para investigações de incidentes e resposta a incidentes (RI)
- Tarefas de agregação de dados que usam logs de baixa fidelidade para suportar fluxos de trabalho de enriquecimento
- Varreduras de comparação de inteligência sobre ameaças históricas (TI) para análise retrospetiva
- Análises de deteção de anomalias que identificam padrões anómalos em várias tabelas
- Promova dados do data lake para a camada de análise, viabilizando a investigação de incidentes ou correlação de logs.
Execute trabalhos KQL únicos no data lake para promover dados históricos específicos da camada data lake para a camada de análise ou crie tabelas de resumo personalizadas na camada data lake. A promoção de dados é útil para análise de causa raiz ou deteção de dia zero ao investigar incidentes que vão além da janela da camada de análise. Envie um trabalho agendado no data lake para automatizar consultas recorrentes para detetar anomalias ou criar linhas de base usando dados históricos. Os caçadores de ameaças podem usar isso para monitorar padrões incomuns ao longo do tempo e alimentar os resultados em deteções ou painéis. Para obter mais informações, consulte Criar trabalhos no data lake do Microsoft Sentinel e Gerenciar trabalhos no data lake do Microsoft Sentinel.
Cenários de exploração
Os cenários a seguir ilustram como as consultas KQL no data lake do Microsoft Sentinel podem ser usadas para aprimorar as operações de segurança:
| Cenário | Detalhes | Exemplo |
|---|---|---|
| Investigue incidentes de segurança usando dados históricos de longo prazo | As equipes de segurança geralmente precisam ir além da janela de retenção padrão para descobrir todo o escopo de um incidente. | Um analista SOC de nível 3 que investiga um ataque de força bruta usa consultas KQL no data lake para consultar dados com mais de 90 dias. Depois de identificar atividades suspeitas de mais de um ano atrás, o analista promove as descobertas para a camada de análise para análise mais profunda e correlação de incidentes. |
| Detete anomalias e construa linhas de base comportamentais ao longo do tempo | Os engenheiros de deteção confiam em dados históricos para estabelecer linhas de base e identificar padrões que podem indicar comportamento mal-intencionado. | Um engenheiro de deteção analisa os logs de entrada ao longo de vários meses para detetar picos de atividade. Ao agendar uma tarefa KQL no data lake, eles criam uma linha de base de séries temporais e detectam um padrão consistente com o abuso de credenciais. |
| Enriqueça as investigações usando logs de alto volume e baixa fidelidade | Alguns logs são muito barulhentos ou volumosos para a camada de análise, mas ainda são valiosos para análise contextual. | Os analistas SOC usam o KQL para consultar logs de rede e firewall armazenados apenas no data lake. Esses logs, embora não estejam na camada de análise, ajudam a validar alertas e fornecem evidências de suporte durante as investigações. |
| Responda a ameaças emergentes com hierarquização de dados flexível | Quando novas informações sobre ameaças surgem, os analistas precisam acessar e agir rapidamente com base em dados históricos. | Um analista de inteligência de ameaças reage a um relatório de análise de ameaças recém-publicado executando as consultas KQL sugeridas no data lake. Ao descobrir atividades relevantes de vários meses atrás, o log necessário é promovido para a camada de análise. Para permitir a deteção em tempo real para deteções futuras, as políticas de hierarquização podem ser ajustadas nas tabelas relevantes para espelhar os logs mais recentes na camada de análise. |
| Explorar dados de ativos provenientes de fontes para além dos logs de segurança tradicionais | Enriqueça a investigação usando o inventário de ativos, como objetos de ID do Microsoft Entra e recursos do Azure. | Os analistas podem usar o KQL para consultar informações de ativos de identidade e de recursos, como usuários, apps, grupos do Microsoft Entra ID, ou inventários de Recursos do Azure, a fim de correlacionar logs para um contexto mais amplo que complemente os dados de segurança existentes. |