Opname van assetgegevens in de Microsoft Sentinel data lake

Assetgegevens in cyberbeveiliging verwijzen naar de fysieke en digitale entiteiten van een organisatie, zoals computers, identiteiten, software, cloudservices en netwerken. Het laat zien wat er bestaat, zodat u weet wat moet worden beveiligd. het data lake van Microsoft Sentinel voegt krachtige waarde toe door deze assetgegevens op te slaan op een schaalbare, kostenefficiënte manier die langetermijnretentie, geavanceerde analyses en ai-gestuurde detectie van bedreigingen ondersteunt. Met uniforme zichtbaarheid van systemen en flexibel gegevensbeheer helpt Sentinel lake beveiligingsteams hun omgeving te begrijpen, ongebruikelijke activiteiten te herkennen en te reageren op bedreigingen.

Hoe wordt opname van assetgegevens ingeschakeld in Sentinel Data Lake?

  • Wanneer u onboardt naar Sentinel lake, worden assetgegevens automatisch opgenomen als u de juiste machtigingen hebt. Zie Vereiste machtigingen voor assetbronnen voor meer informatie.

  • Als u onvoldoende machtigingen hebt, worden assettabellen gemaakt, maar worden er geen gegevens opgenomen. Schakel de opname van assetgegevens als volgt handmatig in:

    1. Ga naar de werkruimte Microsoft Sentinel in de Azure Portal.
    2. Ga naar de pagina Gegevensconnectors .
    3. Zoek de relevante connector voor de assetgegevensbron.
    4. Selecteer de connector en volg de aanwijzingen om opname in te schakelen.

  • Assetgegevens worden alleen opgenomen in de Microsoft Sentinel data lake-laag. Na het onboarden van assetgegevens kan het tot 24 uur duren voordat ze in het meer aankomen.

  • Assetgegevens worden standaard 30 dagen bewaard. Retentie kan worden uitgebreid tot 12 jaar. Zie documentatie voor tabelbeheer voor meer informatie over het beheren van tabelretentie.

Factureringsoverwegingen

  • Voor klanten worden kosten in rekening gebracht voor opname van assetgegevens.

  • Voor klanten worden kosten in rekening gebracht voor het bewaren van assetgegevens.

Momentopnamen van assetgegevens worden eenmaal per 24 uur gemaakt.

Aangezien opname van assetgegevens standaard is ingeschakeld bij het onboarden naar Sentinel data lake, is het belangrijk om de fundamentele rol van asset Sentinel gegevensconnectors te begrijpen die opname van assetgegevens mogelijk maken. Deze gegevensconnectors zijn verantwoordelijk voor het overbrengen van assetgerelateerde gegevens in Sentinel Data Lake en worden gebundeld in hun respectieve Sentinel Solution-pakketten. U kunt deze oplossingen detecteren en beheren via de Content Hub.

Vereiste machtigingen voor assetbronnen

In de volgende tabel worden de verschillende assetgegevensbronnen en de bijbehorende gegevensconnectors beschreven:

Gegevensbron Tabellen Machtiging Oplossing voor gegevensconnector
Azure Resource Graph (ARG) ARGResources
ARGResourceContainers
ARGAuthorizationResources		 Abonnementseigenaar Azure Resource Graph
Microsoft Entra ID EntraApplications
EntraGroupMemberships
EntraGroups
EntraMembers
EntraOrganizations
EntraServicePrincipals
EntraUsers		 Geen Microsoft Entra ID asset

Opmerking

Bepaalde gegevensconnectors, waaronder maar niet beperkt tot assetconnectors, dragen bij aan de constructie van gegevensrisicografieken in Purview. Als deze grafieken actief zijn, onderbreekt het uitschakelen van de gekoppelde connectors hun generatie. Connectorbeschrijvingen geven aan of ze betrokken zijn bij het maken van gegevensrisicografieken.

Dekking van Azure Resource Graph connector uitbreiden

De Azure Resource Graph-connector neemt alleen de Azure resources op die kunnen worden gelezen door de beheerde identiteit. Wanneer u de connector inschakelt, krijgt de beheerde identiteit alleen de rol Lezer voor de abonnementen waarvoor u de rol Eigenaar hebt. De meeste gebruikers hebben geen eigenaarstoegang voor elk abonnement in de tenant, dus de connector neemt vaak een gedeeltelijke weergave van uw Azure estate op, waardoor de dekking wordt beperkt.

Als u de dekking wilt uitbreiden nadat de connector is ingeschakeld, moet een gebruiker met machtigingen op een hoger niveau de rol Lezer toewijzen aan de beheerde identiteit van de connector. Deze gebruiker moet tenanthoofdmachtigingen hebben, een globale beheerder zijn met verhoogde toegang op tenantniveau of gebruikerstoegangsmachtigingen voor beheerder of eigenaar hebben op een hoger bereik. De gebruiker moet de beheerde identiteit vinden die is gekoppeld aan de connector in de Azure Portal en de rol Lezer toewijzen op het breedste bereik dat u wilt opnemen. Als u bijvoorbeeld op het niveau van de hoofdbeheergroep van de tenant toewijst, kan de connector resources lezen in alle abonnementen in de tenant, terwijl het toewijzen op het niveau van een specifieke beheergroep of abonnement het bereik dienovereenkomstig beperkt.

Volg deze stappen om de rol Lezer toe te wijzen aan de beheerde identiteit van de Azure Resource Graph-connector:

  1. Zoek in de Azure Portal de beheerde identiteit die de connector heeft gemaakt. De naam van de identiteit wordt gevolgd door een alfanumerieke id die afhankelijk is msg-resources- van de versie, bijvoorbeeld msg-resources-b05e.

  2. Selecteer een bereik dat betrekking heeft op de resources die u wilt opnemen:

    • De hoofdbeheergroep van de tenant voor alle abonnementen in de tenant.
    • Een specifieke beheergroep voor een subset van abonnementen.
    • Een of meer afzonderlijke abonnementen.

    Schermopname van de overzichtspagina tenanthoofdgroep in de Azure Portal.

  3. Selecteer Toegangsbeheer (IAM).

  4. Selecteer + Roltoewijzing toevoegen>.

    Schermopname van de pagina Toegangsbeheer (IAM) met het menu-item Roltoewijzing toevoegen gemarkeerd.

  5. Wijs de rol Lezer toe aan de beheerde identiteit van de connector. Zie Voor stapsgewijze instructies Azure rollen toewijzen met behulp van de Azure Portal en bij het toewijzen in de hoofdmap van de tenant de toegang verhogen om alle Azure abonnementen en beheergroepen te beheren.

    Schermopname van de pagina Roltoewijzing toevoegen met de rol Lezer geselecteerd.

Nadat de toewijzing is doorgegeven, worden in de volgende opnamecyclus de extra resources opgehaald. Het kan tot 24 uur duren voordat de nieuwe gegevens in het meer worden weergegeven.

Vereisten

Als u assetgegevensconnectors wilt beheren, moet u aan de volgende vereisten voldoen:

  • Zorg ervoor dat u over de benodigde toegang en machtigingen beschikt om te Microsoft Sentinel, zoals de opgegeven kolom Machtigingen van de vorige tabel.
  • Zoek naar de relevante oplossing met de gegevensconnector in de Content Hub. Content Hub vindt u onder het menu Microsoft SentinelContent Management>Content Hub. Installeer de oplossing als deze nog niet is geïnstalleerd.

Schermopname van Sentinel pagina Defender-gegevensconnectors met de Azure Resource Graph gegevensconnector weergegeven.

Configureren en beheren

Open de connectorpagina op een van de volgende manieren:

  • Vanuit de geïnstalleerde oplossing:

    • Selecteer Beheren
    • Selecteer de connector en vervolgens de pagina Connector openen

  • Vanuit de connectorgalerie:

    • De connectorgalerie vindt u onder het menu Microsoft Sentinelconfiguratiegegevensconnectors>

Als u de bewaarperiode van de tabel wilt bewerken, selecteert u op de drie puntjes (...) rechts van de tabelnaam in het tabelbeheerraster. Selecteer een bewaarperiode van maximaal 12 jaar. Wanneer de assetgegevensconnector de status Verbonden weergeeft, wordt in de tekst van de wisselknop Verbinding verbreken weergegeven. Dit geeft aan dat opname is ingeschakeld. Als u de opname wilt uitschakelen, selecteert u de knop Verbinding verbreken . Zodra de verbinding is verbroken, wordt in de verbindingslijnstatus Verbroken weergegeven en wordt de knoptekst om te schakelen naar Verbinding maken.

Schermopname van de startpagina van assets met de knop Verbinding maken.

Assetgegevens gebruiken om activiteitsgegevens te verrijken

Assetgegevens voegen waardevolle context en inzichten toe die mogelijk niet alleen zichtbaar zijn in activiteitenlogboeken. Wanneer u bijvoorbeeld riskante aanmeldingen in de SigninLogs tabel onderzoekt, kunt u de analyse verbeteren door deze samen te voegen met de EntraUsers tabel met gebruikersspecifieke kenmerken, zoals afdeling en aanhuurdatum. Deze extra context helpt beveiligingsteams het gedrag van gebruikers beter te begrijpen en potentiële bedreigingen nauwkeuriger te beoordelen.

SigninLogs
| where IsRisky == true
| join kind=leftouter (
   EntraUsers
   | summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate

KQL-query's uitvoeren op assetgegevens

Als u KQL-query's wilt uitvoeren op assetgegevens in de Sentinel Data Lake, moet u ervoor zorgen dat u query's uitvoert binnen het juiste werkruimtebereik. Volg deze stappen:

  1. Navigeer naar het Microsoft Sentinel menu Data Lake exploration>KQL-query's

  2. Selecteer de knop Geselecteerde werkruimte .

    Schermopname van de informatiebalk voor KQL-query's met een knop om de werkruimte te selecteren.

  3. Zorg ervoor dat de werkruimte Systeemtabellen is geselecteerd.

    Schermopname van de informatiebalk KQL-query's met de geselecteerde werkruimte Systeemtabellen.

Assetgegevenstabellen worden weergegeven onder de categorie Activa:

Schermopname van de tabelkiezer voor KQL-query's met assetgegevenstabellen onder de categorie Activa.

Volgende stappen

  • Last updated on