Plany przechowywania dzienników w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Istnieją dwa konkurencyjne aspekty zbierania dzienników i przechowywania, które mają kluczowe znaczenie dla pomyślnego programu wykrywania zagrożeń. Z jednej strony chcesz zmaksymalizować liczbę zbieranych źródeł dzienników, dzięki czemu możliwe jest najbardziej kompleksowe pokrycie zabezpieczeń. Z drugiej strony należy zminimalizować koszty poniesione przez pozyskiwanie wszystkich tych danych.

Te konkurencyjne potrzeby wymagają strategii zarządzania dziennikami, która równoważy dostępność danych, wydajność zapytań i koszty magazynowania.

W tym artykule omówiono kategorie danych i stany przechowywania używane do przechowywania i uzyskiwania dostępu do danych. Opisano w nim również plany dzienników, które oferuje usługa Microsoft Sentinel w celu utworzenia strategii zarządzania dziennikami i przechowywania.

Ważne

Typ dziennika dzienników pomocniczych jest obecnie w wersji ZAPOZNAWCZEJ. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Kategorie pozyskanych danych

Firma Microsoft zaleca klasyfikowanie danych pozyskanych do usługi Microsoft Sentinel w dwóch ogólnych kategoriach:

• Podstawowe dane zabezpieczeń to dane zawierające krytyczne wartości zabezpieczeń. Te dane są używane do proaktywnego monitorowania w czasie rzeczywistym, zaplanowanych alertów i analiz w celu wykrywania zagrożeń bezpieczeństwa. Dane muszą być łatwo dostępne dla wszystkich środowisk usługi Microsoft Sentinel niemal w czasie rzeczywistym.

• Pomocnicze dane zabezpieczeń to dane uzupełniające, często w dużych, pełnych dziennikach. Te dane mają ograniczoną wartość zabezpieczeń, ale mogą zapewnić dodatkowe bogactwo i kontekst wykrywania i badania, pomagając w narysowaniu pełnego obrazu zdarzenia zabezpieczeń. Nie musi być łatwo dostępna, ale powinna być dostępna na żądanie zgodnie z potrzebami i w odpowiednich dawkach.

Podstawowe dane zabezpieczeń

Ta kategoria składa się z dzienników, które przechowują krytyczne wartości zabezpieczeń dla organizacji. Podstawowe dane zabezpieczeń można opisać za pomocą następujących przypadków użycia operacji zabezpieczeń:

• Częste monitorowanie. Reguły wykrywania zagrożeń (analizy) są uruchamiane na tych danych w częstych odstępach czasu lub niemal w czasie rzeczywistym.

• Polowanie na żądanie. Złożone zapytania są uruchamiane na tych danych, aby wykonywać interaktywne wyszukiwanie zagrożeń bezpieczeństwa o wysokiej wydajności.

• Korelacja. Dane z tych źródeł są skorelowane z danymi z innych podstawowych źródeł danych zabezpieczeń w celu wykrywania zagrożeń i tworzenia scenariuszy ataków.

• Regularne raportowanie. Dane z tych źródeł są łatwo dostępne do kompilowania w regularnych raportach dotyczących kondycji zabezpieczeń organizacji zarówno dla osób podejmujących decyzje dotyczące zabezpieczeń, jak i ogólnych.

• Analiza zachowania. Dane z tych źródeł służą do tworzenia profilów zachowania punktu odniesienia dla użytkowników i urządzeń, co umożliwia identyfikowanie zachowań wychodzących jako podejrzanych.

Niektóre przykłady podstawowych źródeł danych obejmują dzienniki z systemów antywirusowych lub systemów wykrywania i reagowania przedsiębiorstwa (EDR), dzienników uwierzytelniania, dzienników inspekcji z platform w chmurze, źródeł danych analizy zagrożeń i alertów z systemów zewnętrznych.

Dzienniki zawierające podstawowe dane zabezpieczeń powinny być przechowywane przy użyciu planu dzienników analizy opisanego w dalszej części tego artykułu.

Pomocnicze dane zabezpieczeń

Ta kategoria obejmuje dzienniki, których pojedyncza wartość zabezpieczeń jest ograniczona, ale są niezbędne do zapewnienia kompleksowego wglądu w zdarzenia lub naruszenie zabezpieczeń. Zazwyczaj te dzienniki są duże i mogą być pełne. Przypadki użycia operacji zabezpieczeń dla tych danych obejmują następujące elementy:

• Analiza zagrożeń. Dane podstawowe można sprawdzić pod kątem list wskaźników naruszenia (IoC) lub wskaźników ataku (IoA), aby szybko i łatwo wykrywać zagrożenia.

• Wyszukiwanie zagrożeń/badania ad hoc. Dane mogą być odpytywane interaktywnie przez 30 dni, ułatwiając kluczową analizę wyszukiwania zagrożeń i badania.

• Wyszukiwania na dużą skalę. Dane mogą być pozyskiwane i przeszukiwane w tle w skali petabajtów, a jednocześnie przechowywane wydajnie przy minimalnym przetwarzaniu.

• Podsumowywanie za pomocą reguł podsumowania. Podsumuj dzienniki o dużej ilości do zagregowanych informacji i zapisz wyniki jako podstawowe dane zabezpieczeń. Aby dowiedzieć się więcej na temat reguł podsumowania, zobacz Agregowanie danych usługi Microsoft Sentinel przy użyciu reguł podsumowania.

Niektóre przykłady pomocniczych źródeł dzienników danych to dzienniki dostępu do magazynu w chmurze, dzienniki netFlow, dzienniki certyfikatów TLS/SSL, dzienniki zapory, dzienniki serwera proxy i dzienniki IoT. Aby dowiedzieć się więcej o tym, jak każde z tych źródeł przynosi wartość wykrywania zabezpieczeń bez konieczności ich przez cały czas, zobacz Źródła dzienników używane do pozyskiwania dzienników pomocniczych.

Dzienniki zawierające pomocnicze dane zabezpieczeń powinny być przechowywane przy użyciu planu dzienników pomocniczych (teraz w wersji zapoznawczej) opisanego w dalszej części tego artykułu.

W przypadku opcji innej niż wersja zapoznawcza można użyć dzienników podstawowych.

Plany zarządzania dziennikami

Usługa Microsoft Sentinel udostępnia dwa różne plany magazynu dzienników lub typy, aby uwzględnić te kategorie pozyskanych danych.

• Plan dzienników analizy jest przeznaczony do przechowywania podstawowych danych zabezpieczeń i ułatwiania i ciągłego zapewniania dostępu do danych o wysokiej wydajności.

• Plan dzienników pomocniczych jest przeznaczony do przechowywania pomocniczych danych zabezpieczeń w bardzo niskich kosztach przez długi czas, przy jednoczesnym zachowaniu ograniczonej dostępności.

• Trzeci plan, dzienniki podstawowe, jest poprzednikiem planu dzienników pomocniczych i może być używany jako zamiennik, podczas gdy plan dzienników pomocniczych pozostaje w wersji zapoznawczej.

Każdy z tych planów zachowuje dane w dwóch różnych stanach:

• Stan interakcyjnego przechowywania to początkowy stan, w którym dane są pozyskiwane. Ten stan umożliwia różne poziomy dostępu do danych, w zależności od planu, a koszty tego stanu różnią się w zależności od planu.

• Stan przechowywania długoterminowego zachowuje starsze dane w oryginalnych tabelach przez maksymalnie 12 lat, przy bardzo niskich kosztach, niezależnie od planu.

Aby dowiedzieć się więcej na temat stanów przechowywania, zobacz Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics.

Na poniższym diagramie przedstawiono podsumowanie i porównanie tych dwóch planów zarządzania dziennikami.

Plan dzienników analizy

Plan dzienników analizy domyślnie przechowuje dane w stanie przechowywania interakcyjnego przez 90 dni, rozszerzalny przez maksymalnie dwa lata. Ten stan interaktywny, choć kosztowny, umożliwia wykonywanie zapytań o dane w nieograniczony sposób, z wysoką wydajnością, bez opłat za zapytanie.

Po zakończeniu interakcyjnego okresu przechowywania dane przechodzą do stanu przechowywania długoterminowego, pozostając w oryginalnej tabeli. Okres przechowywania długoterminowego nie jest zdefiniowany domyślnie, ale można go zdefiniować do 12 lat. Ten stan przechowywania zachowuje dane przy bardzo niskich kosztach w celu zapewnienia zgodności z przepisami lub zasad wewnętrznych. Dostęp do danych w tym stanie można uzyskać tylko przy użyciu zadania wyszukiwania lub przywracania w celu ściągnięcia ograniczonych zestawów danych do nowej tabeli w interaktywnym przechowywaniu, gdzie można przenieść pełne możliwości zapytań, aby je uwzględnić.

Plan dzienników pomocniczych

Plan dzienników pomocniczych przechowuje dane w stanie przechowywania interakcyjnego przez 30 dni. W planie pomocniczym ten stan ma bardzo niskie koszty przechowywania w porównaniu z planem analizy. Jednak możliwości zapytań są ograniczone: zapytania są naliczane za gigabajt skanowanych danych i są ograniczone do pojedynczej tabeli, a wydajność jest znacznie niższa. Chociaż te dane pozostają w stanie interakcyjnego przechowywania, można uruchomić reguły podsumowania dla tych danych, aby utworzyć tabele agregacji, dane podsumowania w planie dzienników analizy, aby mieć pełne możliwości zapytań na tych zagregowanych danych.

Po zakończeniu interakcyjnego okresu przechowywania dane przechodzą do stanu przechowywania długoterminowego, pozostając w oryginalnej tabeli. Długoterminowe przechowywanie w planie dzienników pomocniczych jest podobne do długoterminowego przechowywania w planie dzienników analizy, z tą różnicą, że jedyną opcją dostępu do danych jest zadanie wyszukiwania. Przywracanie nie jest obsługiwane w przypadku planu dzienników pomocniczych.

Plan dzienników podstawowych

Trzeci plan, znany jako dzienniki podstawowe, zapewnia podobne funkcje do planu dzienników pomocniczych, ale przy wyższym koszcie przechowywania interakcyjnego (choć nie tak wysokie, jak plan dzienników analitycznych). Chociaż plan dzienników pomocniczych pozostaje w wersji zapoznawczej, podstawowe dzienniki mogą być opcją długoterminowego, taniego przechowywania, jeśli organizacja nie korzysta z funkcji w wersji zapoznawczej. Aby dowiedzieć się więcej na temat podstawowego planu dzienników, zobacz Plany tabel w dokumentacji usługi Azure Monitor.

Powiązana zawartość

• Aby uzyskać bardziej szczegółowe porównanie planów danych dzienników i więcej ogólnych informacji na temat typów dzienników, zobacz Omówienie dzienników usługi Azure Monitor | Plany tabel.

• Aby skonfigurować tabelę w planie dzienników pomocniczych, zobacz Konfigurowanie tabeli z planem pomocniczym w obszarze roboczym usługi Log Analytics (wersja zapoznawcza).

• Aby dowiedzieć się więcej na temat okresów przechowywania — które istnieją w różnych planach — zobacz Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics.