Uzun Azure Veri Gezgini günlük saklama için uygulamaları tümleştirin
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Varsayılan olarak, Microsoft Sentinel'e gönderilen günlükler Log Analytics'Azure İzleyici depolanır. Bu makalede, Microsoft Sentinel'de saklama maliyetlerini uzun süreli saklama için Azure Veri Gezgini nasıl azaltabilirsiniz?
Günlüklerin Azure Veri Gezgini maliyetleri azaltırken verilerinizi sorgulama becerinizi korur ve özellikle verileriniz büyüdükçe yararlıdır. Örneğin, güvenlik verileri zaman içinde değer kaybetmeye devam ederken, mevzuat gereksinimleri için günlükleri tutmanız veya eski veriler üzerinde düzenli aralıklarla araştırma çalıştırmanız gerekebilir.
Azure Veri Gezgini hakkında
Azure Veri Gezgini, günlük ve veri analizi için yüksek oranda iyileştirilmiş büyük bir veri analizi platformudur. Sorgu Azure Veri Gezgini olarak Kusto Sorgu Dili (KQL) kullandığından, Microsoft Sentinel veri depolama için iyi bir alternatiftir. Veri Azure Veri Gezgini platformlar arası sorgular çalıştırmanıza ve hem Azure Veri Gezgini hem de Microsoft Sentinel'de verileri görselleştirmenize olanak sağlar.
Daha fazla bilgi için bkz.
- Azure Veri Gezgini öelgeleri
- Azure Veri Gezgini blog
- Uzun süreli güvenlik günlüğü saklama için genel mimariler ve Azure Veri Gezgini
Azure Veri Gezgini ile ne zaman tümleştir Azure Veri Gezgini
Microsoft Sentinel tam SIEM ve SOAR özellikleri, hızlı dağıtım ve yapılandırmanın yanı sıra SOC ekipleri için gelişmiş, yerleşik güvenlik özellikleri sağlar. Ancak, GÜVENLIK verilerini Microsoft Sentinel'de depolamanın değeri, SOC kullanıcılarının yeni verilere eriştikleri kadar sık erişmesi gerekmaysa da birkaç ay sonra düşebilirsiniz.
Düzenli aralıklarla yapılan araştırmalar veya denetimler gibi belirli tablolara erişmeniz gerekirse, verilerinizi Microsoft Sentinel'de tutmanın artık uygun maliyetli olmadığını düşünebilirsiniz. Bu noktada, daha düşük maliyetli olan Azure Veri Gezgini, ancak yine de Microsoft Sentinel'de çalıştırarak aynı KQL sorgularını kullanarak araştırmalarınızı sağlar.
Log Analytics ve ara sunucu Azure Veri Gezgini doğrudan Microsoft Sentinel'den Azure Veri Gezgini erişebilirsiniz. Bunu yapmak için günlük aramanızda veya çalışma kitaplarında kümeler arası sorguları kullanın.
Önemli
Analiz kuralları, UEBA ve araştırma grafiği de dahil olmak üzere temel SIEM özellikleri, veri kaynağında depolanan Azure Veri Gezgini.
Not
Veri Azure Veri Gezgini tümleştirerek verilerinizde denetim ve ayrıntıya sahip olabilirsiniz. Daha fazla bilgi için bkz. Tasarımla ilgili dikkat edilmesi gerekenler.
Verileri doğrudan Microsoft Sentinel'e gönderme ve Azure Veri Gezgini veri gönderme
Algılama, olay araştırmalarında, tehdit avcılığında, UEBA'da ve diğer verilerde kullanmak üzere Microsoft Sentinel'de güvenlik değerine sahip tüm verileri tutmak istiyor olabilirsiniz. Bu verileri Microsoft Sentinel'de tutmak genellikle 3-12 aylık depolamanın yeterli olduğu Güvenlik İşlemleri Merkezi (SOC) kullanıcılarına avantaj sağlar.
Ayrıca, güvenlik değerinden bağımsız olarak tüm verilerinizi aynı anda Azure Veri Gezgini ve daha uzun süre depolandırabilirsiniz. Aynı anda hem Microsoft Sentinel'e hem de Azure Veri Gezgini veri gönderirken, Microsoft Sentinel'de saklama maliyetlerini azaltarak maliyet tasarrufu önemli olabilir.
İpucu
Bu seçenek, Microsoft Sentinel'de depolanan güvenlik verilerini veri depolarında depolanan işletimsel veya uzun vadeli verilerle zenginleştirmek gibi veri depolarına yayılan verileri Azure Veri Gezgini. Daha fazla bilgi için bkz. Azure Veri Gezgini kullanarak çapraz kaynak Azure İzleyici.
Aşağıdaki görüntüde, günlük kullanım için Microsoft Sentinel'e yalnızca Azure Veri Gezgini verilerinizi nasıl veri kaynağında koruyabilirsiniz?
Bu mimari seçeneğini uygulama hakkında daha fazla bilgi için bkz. Azure Veri Gezgini izleme.
Log Analytics'e veri aktarma Azure Veri Gezgini
Verilerinizi doğrudan Azure Veri Gezgini log Analytics'e göndermek yerine Azure Event Hub veya Azure Veri Gezgini kullanarak Log Analytics'e Azure Data Factory.
Veri dışarı aktarma mimarisi
Aşağıdaki görüntüde, veri alımı işlem hattı üzerinden dışarı aktar Azure İzleyici akışı yer akar. Verileriniz varsayılan olarak Log Analytics'e yöneliktir, ancak azure Depolama Hesabına veya Olay Hub'ını dışarı aktararak da yapılandırabilirsiniz.
Veri dışarı aktarma kurallarını yapılandırarak dışarı aktarmayı istediğiniz günlük türlerini seçin. Yapılandırıldığında, Log Analytics veri alımı uç noktasına gelen ve seçilen tablolar için çalışma alanınıza hedeflenen yeni veriler, Depolama Hesabınıza veya Olay hub'ınıza dışarı aktarıldı.
Verileri dışarı aktarma için yapılandırıyorken aşağıdaki noktalara dikkat edilmesi gerekir:
| Değerlendirme | Ayrıntılar |
|---|---|
| Dışarı aktaran verilerin kapsamı | Dışarı aktarma belirli bir tablo için yapılandırıldığında, bu tabloya gönderilen tüm veriler özel durum dışında dışarı aktarıldı. Verilerinizin filtrelenmiş bir alt kümesini dışarı aktarma veya dışarı aktarmayı belirli olaylarla sınırlama desteklenmiyor. |
| Konum gereksinimleri | Hem Azure İzleyici / Microsoft Sentinel çalışma alanı hem de hedef konumun (Azure Depolama Hesabı veya Olay Hub'ı) aynı coğrafi bölgede yer alıyor olması gerekir. |
| Desteklenen tablolar | Dışarı aktarma için desteklenen özel günlük tabloları gibi tüm tablolar desteklenmiyor. Daha fazla bilgi için bkz. Log Analytics çalışma alanı verilerini Azure İzleyici ve desteklenen tabloların listesi. |
Veri dışarı aktarma yöntemleri ve yordamları
Microsoft Sentinel'den aşağıdaki yordamlardan birini kullanarak verileri Azure Veri Gezgini:
Azure Olay Hub'ı aracılığıyla. Log Analytics'den verileri bir Olay Hub'ını dışarı aktarın; burada verileri Azure Veri Gezgini. Bu yöntem bazı verileri (ilk X ay) hem Microsoft Sentinel'de hem de Azure Veri Gezgini.
Azure Depolama ve Azure Data Factory. Log Analytics'e verilerinizi Azure Blob Depolama aktarın ve Azure Data Factory daha fazla veri kaynağına dışarı aktaracak düzenli bir kopyalama işi çalıştırmak için Azure Veri Gezgini. Bu yöntem, verileri microsoft Azure Data Factory / Log Analytics'te saklama sınırına yaklaşarak kopyalamanızı ve yinelemeyi önlemenizi sağlar.
Bu bölümde, Log Analytics'in Microsoft Sentinel verilerini bir Olay Hub'ını içine aktararak veri kaynağına nasıl aktarabilirsiniz Azure Veri Gezgini. Verileri doğrudan Microsoft Sentinel'eve Azure Veri Gezgini olarak göndermeye benzer şekilde, bu yöntem de Log Analytics'e gelen verilerin Azure Veri Gezgini veri yinelemesi içerir.
Aşağıdaki görüntüde, bir Olay Hub'ını içine aktaran örnek bir akış ve bu akış, olay hub'larına Azure Veri Gezgini.
Önceki görüntüde gösterilen mimari; olay yönetimi, görsel araştırma, tehdit avcılığı, gelişmiş görselleştirmeler, UEBA ve daha fazlası dahil olmak üzere sık erişilmeleri gereken veriler için X ayda bir microsoft Sentinel SIEM deneyiminin tamamını sağlar. Aynı zamanda, bu mimari uzun vadeli verileri sorgulamak için doğrudan Azure Veri Gezgini veya Microsoft Sentinel aracılığıyla Azure Veri Gezgini sağlar. Azure Veri Gezgini'da uzun süreli veri depolamaya Azure Veri Gezgini, Microsoft Sentinel'den Azure Veri Gezgini.
Not
Event Hub aracılığıyla birden çok veri Azure Veri Gezgini dışarı aktarma sırasında Log Analytics veri dışarı aktarmanın ad alanı başına en fazla veri Event Hubs sınırlaması olduğunu unutmayın. Log Analytics çalışma alanı verilerini dışarı aktarma hakkında daha fazla bilgi için Azure İzleyici.
Çoğu müşteri için Olay Hub'ı Standart katmanının kullanılması önerilir. Dışarı aktarmanız gereken tablo miktarına ve bu tablolara yönelik trafik miktarına bağlı olarak Event Hub Ayrılmış katmanını kullanabilirsiniz. Daha fazla bilgi için Olay Hub'ı belgelerine bakın.
İpucu
Bu yordam hakkında daha fazla bilgi için bkz. Öğretici: Veri kaynağında izleme verilerini Azure Veri Gezgini.
Verileri olay hub'Azure Veri Gezgini dışarı aktarma:
Log Analytics verilerini bir Olay Hub'ını dışarı aktarmayı yapılandırma. Daha fazla bilgi için bkz. Log Analytics çalışma alanı verilerini Azure İzleyici.
Bir küme Azure Veri Gezgini veritabanı oluşturun. Daha fazla bilgi için bkz.
Hedef tablolar oluşturun. Ham veriler önce ham verilerin depolandığı, işlandığı ve genişletilen bir ara tabloya alındı.
Tüm yeni verilere uygulanan bir işleve benzer bir güncelleştirme ilkesi, genişletilmiş verileri Son tabloya (Microsoft Sentinel'de özgün tabloyla aynı şemaya sahip olan) alır.
Ham tablodaki saklamayı 0 gün olarak ayarlayın. Veriler yalnızca düzgün biçimlendirilmiş tabloda depolanır ve dönüştürüldikten hemen sonra ham tabloda silinir.
Daha fazla bilgi için bkz. veri kaynağında izleme verilerini Azure Veri Gezgini.
Tablo eşlemesi oluşturun. Kayıtların bir Olay Hub'larından gelen ham olaylar tablosuna nasıl konacaklarını tanımlamak için JSON tablolarını eşler. Daha fazla bilgi için bkz. Ölçüm ve günlük verileri için güncelleştirme ilkesi oluşturma.
Bir güncelleştirme ilkesi oluşturun ve bunu ham kayıtlar tablosuna iliştirin. Bu adımda, güncelleştirme ilkesi adlı bir işlev oluşturun ve veri alımı zamanında dönüştürülmesi için bunu hedef tabloya iliştirin.
Not
Bu adım yalnızca veri tablolarını Microsoft Sentinel'Azure Veri Gezgini aynı şema ve biçime sahip bir veri tablosuna sahip olmak istediğiniz zaman gereklidir.
Daha fazla bilgi için bkz. Bağlan hub'larını Azure Veri Gezgini.
olay hub'ı ile ham veri tablosu arasında bir veri bağlantısı Azure Veri Gezgini. Verileri Azure Veri Gezgini Olay Hub'ını dışarı aktarma ayrıntılarıyla birlikte yapılandırma.
Azure Veri Gezgini belgelerinde yer alan yönergeleri kullanın ve aşağıdaki ayrıntıları belirtin:
- Hedef . Ham verilerle belirli bir tabloyu belirtin.
- Biçimini biçimlendirin. Tablo
.jsonbiçimi olarak belirtin. - Uygulanacak eşleme. Yukarıdaki 4. adımda oluşturulan eşleme tablosu belirtin.
Hedef tablo için bekletmeyi değiştirme. Varsayılan Azure Veri Gezgini saklama ilkesi, ihtiyacınız olandan çok daha uzun olabilir.
Bekletme ilkesi bir yıl olarak güncelleştirmek için aşağıdaki komutu kullanın:
.alter-merge table <tableName> policy retention softdelete = 365d recoverability = disabled
Tasarım konusunda dikkat edilmesi gerekenler
Microsoft Sentinel verilerinizi Azure Veri Gezgini aşağıdaki öğeleri göz önünde
| Değerlendirme | Description |
|---|---|
| Küme boyutu ve SKU | Kümenizin düğüm sayısı ve VM SKU'su için dikkatli bir şekilde planlama. Bu faktörler işlem gücü miktarını ve önbellek boyutunu (SSD ve bellek) belirler. Önbellek büyüdükçe, daha yüksek bir performansla sorgulayabileceksiniz. Farklı yapılandırmalarla oynayarak elde edilen Azure Veri Gezginihesaplayıcıyı ziyaret edin. Azure Veri Gezgini, küme yüküne bağlı olarak gerektiğinde düğüm ekleme/kaldırmaya ilişkin akıllı kararlar alan bir otomatik ölçeklendirme özelliğine de sahiptir. Daha fazla bilgi için bkz. Değişen talebi karşılamak için kümede küme yatay ölçeklendirmeyi Azure Veri Gezgini ölçeklendirmeyi yönetme. |
| Sıcak/soğuk önbellek | Azure Veri Gezgini önbellekte yer alan veri tabloları üzerinde denetim sağlar ve sonuçları daha hızlı sonuç verir. Azure Veri Gezgini kümenize büyük miktarda veriniz varsa, tabloları aya göre parçalı olarak kesmeniz iyi olabilir; böylece, sıcak önbellekte mevcut olan veriler üzerinde daha fazla ayrıntıya sahip olursanız. Daha fazla bilgi için bkz. Önbellek ilkesi (sıcak ve soğuk önbellek) |
| Bekletme | Bu Azure Veri Gezgini, veriler bir veritabanından veya tek bir tablodan kaldırıldığında yapılandırabilirsiniz. Bu, depolama maliyetlerini sınırlamanın da önemli bir parçasıdır. Daha fazla bilgi için bkz. Bekletme ilkesi. |
| Güvenlik | Kimlik Azure Veri Gezgini, şifreleme gibi verilerinizi korumanıza yardımcı olabilir. Özellikle rol tabanlı erişim denetimi (RBAC) için Azure Veri Gezgini veritabanlarına, tablolara ve hatta tablo içindeki satırlara erişimi kısıtlamak için yalıtabilirsiniz. Daha fazla bilgi için bkz. Azure Veri Gezgini güvenlik ve Satır düzeyi güvenlik. |
| Veri paylaşımı | Azure Veri Gezgini, iş ortakları veya satıcılar gibi diğer tarafların verileri kullanılabilir hale toplamalarına ve hatta diğer taraflara veri satın alamalarına olanak sağlar. Daha fazla bilgi için bkz. Azure Veri Paylaşımı ile veri paylaşmak için Azure Veri Gezgini. |
| Diğer maliyet bileşenleri | Aşağıdaki yöntemler için diğer maliyet bileşenlerini göz önünde bulundurabilirsiniz: Azure Olay Hub'ı aracılığıyla verileri dışarı aktarma: - Log Analytics veri dışarı aktarma maliyetleri, dışarı aktarıldı GB'ler başına ücret. - Olay hub'ı maliyetleri, işleme birimi tarafından ücrete tabidir. Azure Depolama ve Azure Data Factory: - Log Analytics veri dışarı aktarma, dışarı aktarıldı GB'ler başına ücret. - Azure Depolama, depolanan GB'ler tarafından ücrete tabidir. - Azure Data Factory çalıştırma etkinliklerinin kopyası başına ücret tahsil edilecektir. |
Sonraki adımlar
Verilerinizi nerede depolarsanız depolarsanız kullanın, Microsoft Sentinel'i kullanarak araştırmaya ve araştırmaya devam edin.
Daha fazla bilgi için bkz.