Microsoft Sentinel'de günlük saklama planları
Günlük toplama ve saklamanın başarılı bir tehdit algılama programı için kritik öneme sahip iki rakip yönü vardır. Bir yandan, topladığınız günlük kaynaklarının sayısını en üst düzeye çıkarmak istersiniz, böylece mümkün olan en kapsamlı güvenlik kapsamına sahip olursunuz. Öte yandan, tüm bu verilerin alımından kaynaklanan maliyetleri en aza indirmeniz gerekir.
Bu rakip gereksinimler, veri erişilebilirliği, sorgu performansı ve depolama maliyetlerini dengeleyen bir günlük yönetimi stratejisi gerektirir.
Bu makalede, verilerinizi depolamak ve bunlara erişmek için kullanılan veri kategorileri ve saklama durumları ele alınmaktadır. Ayrıca Microsoft Sentinel'in size günlük yönetimi ve bekletme stratejisi oluşturmanızı sunduğu günlük planlarını da açıklar.
Önemli
Yardımcı Günlükler günlük türü şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Alınan veri kategorileri
Microsoft, Microsoft Sentinel'e alınan verilerin iki genel kategoride sınıflandırılmalarını önerir:
Birincil güvenlik verileri , kritik güvenlik değeri içeren verilerdir. Bu veriler, güvenlik tehditlerini algılamak için gerçek zamanlı proaktif izleme, zamanlanmış uyarılar ve analizler için kullanılır. Verilerin neredeyse gerçek zamanlı olarak tüm Microsoft Sentinel deneyimlerinin kullanımına hazır olması gerekir.
İkincil güvenlik verileri , genellikle yüksek hacimli, ayrıntılı günlüklerde yer alan tamamlayıcı verilerdir. Bu veriler sınırlı güvenlik değerine sahiptir, ancak algılamalara ve araştırmalara ek zenginlik ve bağlam sağlayarak bir güvenlik olayının tam resmini çizmeye yardımcı olabilir. Hazır olması gerekmez, ancak gerektiğinde ve uygun dozlarda isteğe bağlı olarak erişilebilir olmalıdır.
Birincil güvenlik verileri
Bu kategori, kuruluşunuz için kritik güvenlik değerini barındıran günlüklerden oluşur. Birincil güvenlik verileri, güvenlik işlemleri için aşağıdaki kullanım örnekleriyle açıklanabilir:
Sık izleme. Tehdit algılama (analiz) kuralları bu veriler üzerinde sık aralıklarla veya neredeyse gerçek zamanlı olarak çalıştırılır.
İsteğe bağlı avlanma. Karmaşık sorgular, güvenlik tehditleri için etkileşimli ve yüksek performanslı tehdit avcılığı yürütmek için bu verilerde çalıştırılır.
Bağıntı. Bu kaynaklardan alınan veriler, tehditleri algılamak ve saldırı hikayeleri oluşturmak için diğer birincil güvenlik veri kaynaklarından alınan verilerle ilişkilendirilir.
Düzenli raporlama. Bu kaynaklardan alınan veriler, hem güvenlik hem de genel karar alıcılar için kuruluşun güvenlik durumuyla ilgili düzenli raporları derlemek için hazır olarak kullanılabilir.
Davranış analizi. Bu kaynaklardan alınan veriler, kullanıcılarınız ve cihazlarınız için temel davranış profilleri oluşturmak için kullanılır ve dış davranışları şüpheli olarak tanımlamanızı sağlar.
Birincil veri kaynaklarına örnek olarak virüsten koruma veya kurumsal algılama ve yanıt (EDR) sistemlerinden alınan günlükler, kimlik doğrulama günlükleri, bulut platformlarından gelen denetim kayıtları, tehdit bilgileri akışları ve dış sistemlerden gelen uyarılar verilebilir.
Birincil güvenlik verilerini içeren günlükler, bu makalenin devamında açıklanan Analiz günlükleri planı kullanılarak depolanmalıdır.
İkincil güvenlik verileri
Bu kategori, bireysel güvenlik değeri sınırlı olan ancak bir güvenlik olayının veya ihlalin kapsamlı bir görünümünü sağlamak için gerekli olan günlükleri kapsar. Genellikle bu günlükler yüksek hacimlidir ve ayrıntılı olabilir. Bu veriler için güvenlik işlemleri kullanım örnekleri şunlardır:
Tehdit bilgisi. Birincil veriler, tehditleri hızlı ve kolay bir şekilde algılamak için Risk Göstergeleri (IoC) veya Saldırı Göstergeleri (IoA) listelerine göre denetlenebilir.
Geçici avcılık/araştırma. Veriler 30 gün boyunca etkileşimli olarak sorgulanabilir ve bu da tehdit avcılığı ve araştırma için önemli analizler yapılmasına olanak tanır.
Büyük ölçekli aramalar. Veriler petabayt ölçeğinde arka planda alınıp aranırken, en az işlemle verimli bir şekilde depolanabilir.
Özet kuralları aracılığıyla özetleme. Toplu bilgiler halinde yüksek hacimli günlükleri özetleyin ve sonuçları birincil güvenlik verileri olarak depolayın. Özet kuralları hakkında daha fazla bilgi edinmek için bkz . Özet kurallarıyla Microsoft Sentinel verilerini toplama.
İkincil veri günlüğü kaynaklarına örnek olarak bulut depolama erişim günlükleri, NetFlow günlükleri, TLS/SSL sertifika günlükleri, güvenlik duvarı günlükleri, proxy günlükleri ve IoT günlükleri verilebilir. Bu kaynakların her birinin güvenlik algılamalarına sürekli ihtiyaç duymadan nasıl değer getirdiği hakkında daha fazla bilgi edinmek için bkz . Yardımcı Günlük alımı için kullanılacak günlük kaynakları.
İkincil güvenlik verileri içeren günlükler, bu makalenin devamında açıklanan Yardımcı günlükler planı (şimdi Önizlemede) kullanılarak depolanmalıdır.
Önizleme olmayan bir seçenek için bunun yerine Temel günlükleri kullanabilirsiniz.
Günlük yönetimi planları
Microsoft Sentinel, bu alınan veri kategorilerini barındırmak için iki farklı günlük depolama planı veya türü sağlar.
Analiz günlükleri planı, birincil güvenlik verilerini depolamak ve yüksek performansta kolayca ve sürekli erişilebilir hale getirmek için tasarlanmıştır.
Yardımcı günlükler planı, ikincil güvenlik verilerini uzun süreler boyunca çok düşük bir maliyetle depolamak ve sınırlı erişilebilirliğe olanak sağlamak için tasarlanmıştır.
Üçüncü bir plan olan Temel günlükler, yardımcı günlükler planının öncülüdür ve yardımcı günlükler planı önizlemede kalırken bunun yerine kullanılabilir.
Bu planların her biri iki farklı durumdaki verileri korur:
Etkileşimli saklama durumu, verilerin alındığı ilk durumdur. Bu durum plana bağlı olarak verilere farklı erişim düzeyleri sağlar ve plana bağlı olarak bu durumun maliyetleri büyük ölçüde değişir.
Uzun süreli saklama durumu, plana bakılmaksızın eski verileri özgün tablolarında son derece düşük maliyetle 12 yıla kadar korur.
Bekletme durumları hakkında daha fazla bilgi edinmek için bkz . Log Analytics çalışma alanında veri saklamayı yönetme.
Aşağıdaki diyagramda bu iki günlük yönetimi planı özetlenmektedir ve karşılaştırabilirsiniz.
Analiz günlükleri planı
Analiz günlükleri planı, verileri varsayılan olarak 90 gün boyunca etkileşimli saklama durumunda tutar ve iki yıla kadar genişletilebilir. Bu etkileşimli durum pahalı olsa da, verilerinizi sorgu başına ücretsiz olarak yüksek performansla sınırsız bir şekilde sorgulamanıza olanak tanır.
Etkileşimli saklama süresi sona erdiğinde, veriler özgün tablosunda kalırken uzun süreli saklama durumuna geçer. Uzun süreli saklama süresi varsayılan olarak tanımlanmaz, ancak 12 yıla kadar sürecek şekilde tanımlayabilirsiniz. Bu saklama durumu, mevzuat uyumluluğu veya iç ilke amaçları doğrultusunda verilerinizi son derece düşük maliyetle korur. Bu durumdaki verilere yalnızca bir arama işi kullanarak erişebilir veya sınırlı veri kümelerini etkileşimli saklamada yeni bir tabloya çekmek için geri yükleyebilirsiniz. Burada, tüm sorgu özelliklerini bu tabloya taşıyabilirsiniz.
Yardımcı günlükler planı
Yardımcı günlükler planı, verileri 30 gün boyunca etkileşimli saklama durumunda tutar. Yardımcı planda bu durum, Analytics planına göre çok düşük saklama maliyetlerine sahiptir. Ancak sorgu özellikleri sınırlıdır: Sorgular taranan her gigabayt veri başına ücretlendirilir ve tek bir tabloyla sınırlıdır ve performans önemli ölçüde düşüktür. Bu veriler etkileşimli saklama durumunda kalırken, bu verilerde özet kuralları çalıştırarak Analiz günlükleri planında toplam ve özet veri tabloları oluşturabilir, böylece bu toplama verilerinde tam sorgu özelliklerine sahip olursunuz.
Etkileşimli saklama süresi sona erdiğinde veriler, özgün tablosunda kalan uzun süreli saklama durumuna geçer. Yardımcı günlükler planında uzun süreli saklama, analiz günlükleri planındaki uzun süreli saklamaya benzer, ancak verilere erişmek için tek seçenek bir arama işidir. Yardımcı günlükler planı için geri yükleme desteklenmez.
Temel günlükler planı
Temel günlükler olarak bilinen üçüncü bir plan, yardımcı günlük planına benzer işlevler sağlar, ancak daha yüksek etkileşimli saklama maliyetiyle (analiz günlükleri planı kadar yüksek olmasa da). Yardımcı günlükler planı önizleme aşamasında kalırken, kuruluşunuz önizleme özelliklerini kullanmıyorsa temel günlükler uzun süreli ve düşük maliyetli saklama için bir seçenek olabilir. Temel günlükler planı hakkında daha fazla bilgi edinmek için Azure İzleyici belgelerindeki Tablo planları bölümüne bakın.
İlgili içerik
Günlük verileri planlarının daha ayrıntılı bir karşılaştırması ve günlük türleri hakkında daha fazla genel bilgi için bkz . Azure İzleyici Günlüklerine genel bakış | Tablo planları.
Yardımcı günlükler planında bir tablo ayarlamak için bkz . Log Analytics çalışma alanınızda Yardımcı planla tablo ayarlama (Önizleme).
Planlarda bulunan saklama süreleri hakkında daha fazla bilgi edinmek için bkz . Log Analytics çalışma alanında veri saklamayı yönetme.