Naplómegőrzési csomagok a Microsoft Sentinelben
A naplógyűjtésnek és a megőrzésnek két versengő aspektusa van, amelyek kritikus fontosságúak a sikeres fenyegetésészlelési program szempontjából. Egyrészt maximalizálni szeretné az összegyűjtött naplóforrások számát, hogy a lehető legátfogóbb biztonsági lefedettséggel rendelkezzen. Másrészt minimalizálnia kell az összes adat betöltésével járó költségeket.
Ezek a versengő igények olyan naplókezelési stratégiát igényelnek, amely kiegyensúlyozza az adatok hozzáférhetőségét, a lekérdezési teljesítményt és a tárolási költségeket.
Ez a cikk az adatok kategóriáit és az adatok tárolásához és eléréséhez használt adatmegőrzési állapotokat ismerteti. Azt is ismerteti, hogy a Microsoft Sentinel milyen naplóterveket kínál a naplókezelési és adatmegőrzési stratégia kialakításához.
Fontos
A kiegészítő naplók naplótípusa jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
A betöltött adatok kategóriái
A Microsoft azt javasolja, hogy a Microsoft Sentinelbe betöltött adatokat két általános kategóriába sorolja be:
Az elsődleges biztonsági adatok olyan adatok, amelyek kritikus biztonsági értéket tartalmaznak. Ezeket az adatokat a rendszer valós idejű proaktív figyeléshez, ütemezett riasztásokhoz és elemzésekhez használja a biztonsági fenyegetések észleléséhez. Az adatoknak könnyen elérhetőnek kell lenniük az összes Microsoft Sentinel-élményhez közel valós időben.
A másodlagos biztonsági adatok kiegészítő adatok, gyakran nagy mennyiségű, részletes naplókban. Ezek az adatok korlátozott biztonsági értékkel rendelkeznek, de további gazdagságot és kontextust biztosíthatnak az észlelésekhez és a vizsgálatokhoz, így teljes képet kaphatnak egy biztonsági incidensről. Nem kell könnyen elérhetőnek lennie, de igény szerint és a megfelelő adagokban is elérhetőnek kell lennie.
Elsődleges biztonsági adatok
Ez a kategória olyan naplókból áll, amelyek kritikus biztonsági értékkel rendelkeznek a szervezet számára. Az elsődleges biztonsági adatok a biztonsági műveletekhez a következő használati esetek szerint írhatók le:
Gyakori figyelés. A fenyegetésészlelési (elemzési) szabályok gyakran vagy közel valós időben futnak ezen az adatokon.
Igény szerinti vadászat. Az adatokon összetett lekérdezések futnak a biztonsági fenyegetések interaktív, nagy teljesítményű keresésének végrehajtásához.
Korreláció. Ezekből a forrásokból származó adatok korrelálnak más elsődleges biztonsági adatforrásokból származó adatokkal a fenyegetések észleléséhez és a támadási történetek létrehozásához.
Rendszeres jelentéskészítés. Ezekből a forrásokból származó adatok könnyen összeállíthatóak a szervezet biztonsági állapotáról szóló rendszeres jelentésekbe mind a biztonsági, mind az általános döntéshozók számára.
Viselkedéselemzés. Ezekből a forrásokból származó adatokkal alapszintű viselkedésprofilokat hozhat létre a felhasználók és az eszközök számára, így gyanúsként azonosíthatja a kívülről érkező viselkedéseket.
Az elsődleges adatforrások közé tartoznak például a víruskereső vagy vállalati észlelési és válaszrendszerek naplói, a hitelesítési naplók, a felhőplatformok naplói, a fenyegetésfelderítési hírcsatornák és a külső rendszerek riasztásai.
Az elsődleges biztonsági adatokat tartalmazó naplókat a jelen cikk későbbi részében ismertetett Analytics-naplók tervével kell tárolni.
Másodlagos biztonsági adatok
Ez a kategória magában foglalja azokat a naplókat, amelyek egyedi biztonsági értéke korlátozott, de alapvető fontosságúak a biztonsági incidensek vagy incidensek átfogó áttekintéséhez. Ezek a naplók általában nagy mennyiségűek, és részletesek is lehetnek. Az adatok biztonsági műveleteinek használati esetei a következők:
Fenyegetések felderítése. A fenyegetések gyors és egyszerű észleléséhez az elsődleges adatok ellenőrizhetők a biztonsági résjelzők (IoC) vagy a támadásjelzők (IoA) listájában.
Alkalmi vadászat/vizsgálat. Az adatok 30 napig interaktívan kérdezhetők le, ami megkönnyíti a fenyegetéskeresés és a vizsgálatok kulcsfontosságú elemzését.
Nagy léptékű keresések. Az adatok petabájt skálán tárolhatók és kereshetők a háttérben, miközben minimális feldolgozás mellett hatékonyan tárolhatók.
Összegzés összegzési szabályokkal. Összegezze a nagy mennyiségű naplókat összesítő információkba, és tárolja az eredményeket elsődleges biztonsági adatokként. Az összefoglaló szabályokról további információt a Microsoft Sentinel-adatok összegzési szabályokkal való összesítése című témakörben talál.
A másodlagos adatforrások közé tartoznak például a felhőalapú tárolási hozzáférési naplók, a NetFlow-naplók, a TLS-/SSL-tanúsítványnaplók, a tűzfalnaplók, a proxynaplók és az IoT-naplók. Ha többet szeretne megtudni arról, hogy ezek a források hogyan adnak értéket a biztonsági észleléseknek anélkül, hogy mindig szükség lenne rájuk, tekintse meg a kiegészítő naplók betöltéséhez használandó naplóforrásokat.
A másodlagos biztonsági adatokat tartalmazó naplókat a cikk későbbi részében ismertetett segédnapló-tervvel (most előzetes verzióban) kell tárolni.
Nem előzetes verziójú beállítás esetén használhatja az Alapszintű naplókat .
Naplókezelési tervek
A Microsoft Sentinel két különböző naplótárolási csomagot vagy típust biztosít a betöltött adatok ezen kategóriáinak tárolásához.
Az Analytics-naplók tervének célja az elsődleges biztonsági adatok tárolása, valamint az adatok egyszerű és folyamatos akadálymentesítése nagy teljesítmény esetén.
A kiegészítő naplók tervének célja a másodlagos biztonsági adatok nagyon alacsony költségen történő tárolása hosszú ideig, de továbbra is korlátozott akadálymentesítést tesz lehetővé.
A harmadik terv, az Alapszintű naplók a kiegészítő naplók tervének elődje, és helyettesítőként használható, miközben a kiegészítő naplók terve előzetes verzióban marad.
Ezek a tervek két különböző állapotban őrzik meg az adatokat:
Az interaktív adatmegőrzési állapot az a kezdeti állapot, amelybe az adatokat betöltik. Ez az állapot a tervtől függően különböző szintű hozzáférést tesz lehetővé az adatokhoz, és az állapot költségei a tervtől függően széles körben változnak.
A hosszú távú megőrzési állapot a tervtől függetlenül akár 12 évig is megőrzi a régebbi adatokat az eredeti táblákban, rendkívül alacsony költséggel.
A megőrzési állapotokról további információt a Log Analytics-munkaterület adatmegőrzésének kezelése című témakörben talál.
Az alábbi diagram összefoglalja és összehasonlítja ezt a két naplókezelési tervet.
Elemzési naplók terve
Az Analytics-naplók terve alapértelmezés szerint 90 napig, legfeljebb két évig bővíthető állapotban tartja az adatokat az interaktív adatmegőrzési állapotban. Ez az interaktív állapot, bár költséges, lehetővé teszi, hogy korlátlanul, nagy teljesítménnyel, lekérdezésenként díjmentesen lekérdezhesse adatait.
Amikor az interaktív megőrzési időszak véget ér, az adatok hosszú távú megőrzési állapotba kerülnek, miközben az eredeti táblában maradnak. A hosszú távú megőrzési időszak alapértelmezés szerint nincs meghatározva, de legfeljebb 12 évig tart. Ez a megőrzési állapot rendkívül alacsony költséggel őrzi meg az adatokat jogszabályi megfelelőség vagy belső szabályzat céljából. Ebben az állapotban csak keresési feladattal vagy visszaállítással érheti el az adatokat, ha korlátozott adatkészleteket szeretne lekérni egy új táblába interaktív megőrzés módban, ahol a teljes lekérdezési képességeket használhatja.
Kiegészítő naplók terve
A kiegészítő naplók terve 30 napig megőrzi az adatokat interaktív megőrzési állapotban. A Kiegészítő csomagban ez az állapot nagyon alacsony megőrzési költségekkel rendelkezik az Analytics-csomaghoz képest. A lekérdezési képességek azonban korlátozottak: a lekérdezések a beolvasott adatok gigabájtja alapján kerülnek felszámításra, és egyetlen táblára vannak korlátozva, és a teljesítmény jelentősen alacsonyabb. Bár ezek az adatok interaktív megőrzési állapotban maradnak, az adatokra vonatkozó összesítő szabályok futtatásával összesítő, összesítő adatokat tartalmazó táblákat hozhat létre az Analytics-naplók tervében, így az összesítő adatok teljes lekérdezési képességeivel rendelkezik.
Amikor az interaktív megőrzési időszak véget ér, az adatok hosszú távú megőrzési állapotba kerülnek, és az eredeti táblában maradnak. A kiegészítő naplók tervének hosszú távú megőrzése hasonló az elemzési naplók tervének hosszú távú megőrzéséhez, azzal a kivétellel, hogy az adatok elérésének egyetlen lehetősége egy keresési feladat. A visszaállítás nem támogatott a kiegészítő naplók tervében.
Alapszintű naplóterv
A harmadik, alapszintű naplók néven ismert csomag a kiegészítő naplók tervéhez hasonló funkciókat biztosít, de magasabb interaktív megőrzési költséggel (bár nem olyan magas, mint az elemzési naplók terve). Bár a kiegészítő naplók csomagja előzetes verzióban marad, az alapszintű naplók hosszú távú, alacsony költségű megőrzésre is használhatók, ha a szervezet nem használ előzetes verziójú funkciókat. Az alapszintű naplótervről az Azure Monitor dokumentációjában található Táblázatcsomagok című témakörben olvashat bővebben.
Kapcsolódó tartalom
A naplóadat-tervek részletesebb összehasonlítása és a naplótípusokra vonatkozó általános információkért tekintse meg az Azure Monitor naplóinak áttekintését | Táblatervek.
Ha a Kiegészítő naplók tervben szeretne táblázatot beállítani, olvassa el a Táblázat beállítása a Kiegészítő csomaggal a Log Analytics-munkaterületen (előzetes verzió) című témakört.
Ha többet szeretne megtudni a csomagokban fennálló megőrzési időszakokról, olvassa el a Log Analytics-munkaterület adatmegőrzésének kezelése című témakört.