Microsoft Sentinel 中的記錄保留方案
記錄收集與保留有兩個對立層面,對於威脅偵測方案成功極為重要。 一方面,不妨將收集的記錄來源數目最大化,才能擁有最全面的安全性涵蓋範圍。 另一方面,您必須將擷取所有資料所產生的成本降到最低。
這些對立的需求需要善用記錄管理策略,在資料可存取性、查詢效能和儲存體成本之間取得平衡。
本文討論用來儲存和存取資料之資料類別和保留狀態。 它也說明 Microsoft Sentinel 提供的記錄方案,可讓您打造記錄管理和保留策略。
重要
Auxiliary 記錄的記錄類型目前是預覽版。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
內嵌資料的類別
Microsoft 建議將內嵌至 Microsoft Sentinel 的資料分為兩個一般類別:
主要安全性資料是包含重要安全性數值的資料。 這項資料用於即時主動監視、排程的警示以及分析,可偵測安全性威脅。 資料必須以近乎即時的方式,備妥供所有 Microsoft Sentinel 體驗使用。
次要安全性資料是補充資料,通常位於大量的詳細資訊記錄。 此資料的安全性價值有限,但是為偵測和調查提供的豐富性和內容更高,有助於描繪安全性事件全貌。 它不必隨時可用,但應該可視需要以隨需方式適量供存取。
主要安全性資料
此類別包含的記錄,為貴組織保留了關鍵的安全性價值。 主要安全性資料可透過下列安全性作業的使用案例說明:
頻繁監視。 威脅偵測 (分析) 規則以頻繁定期或近乎即時的方式在此資料執行。
隨需搜捕。 複雜的查詢會在此資料執行,以執行互動式高效能的安全性威脅搜捕。
相互關聯。 這些來源的資料與其他主要安全性資料來源的資料相互關聯,以偵測威脅並構建攻擊案例。
一般報告。 這些來源的資料隨時可供編譯組織安全性健康情況的一般報告,適用於安全性和一般決策者。
行為分析。 這些來源的資料用於為使用者和裝置組建基準行為設定檔,讓您將異常行為識別為可疑。
主要資料來源的部分範例包括,防毒軟體或企業偵測和回應 (EDR) 系統的記錄、驗證記錄、雲端平台的稽核線索、威脅情報摘要,以及外部系統的警示。
包含主要安全性資料的記錄,應使用本文稍後所述的 Analytics 記錄方案儲存。
次要安全性資料
此類別包含的記錄,其個別安全性值有限,但對於提供安全性事件或缺口的全貌而言非常重要。 一般而言,這些記錄大量且可能提供詳細資訊。 此資料的安全性作業使用案例包括下列各項:
威脅情報。 主要資料可根據入侵指標 (IoC) 清單或攻擊指標 (IoA) 清單接受檢查,快速輕鬆偵測威脅。
臨機操作搜捕/調查。 資料可供以互動方式查詢 30 天,協助對威脅搜捕和調查進行重要分析。
大規模搜尋。 數據可以 PB 為單位在背景擷取及搜尋,同時以最少的處理方式高效儲存。
透過摘要規則摘要。 將大量記錄摘要至彙總資訊,並將結果儲存為主要安全性資料。 若要深入了解摘要規則,請參閱 Aggregate Microsoft Sentinel data with summary rules (內容為英文)。
次要資料記錄來源的部分範例包括,雲端儲存空間存取記錄、NetFlow 記錄、TLS/SSL 憑證記錄、防火牆記錄、Proxy 記錄和 IoT 記錄。 若要深入了解這些來源如何在不用時時刻刻都必須派上用場的情況下,為安全性偵測提供價值,請參閱用於 Auxiliary 記錄擷取的記錄來源。
包含次要安全性資料的記錄,應使用本文稍後所述的 Auxiliary 記錄 (目前為預覽版) 方案儲存。
如需非預覽選項,您可以改用 Basic 記錄。
記錄管理方案
Microsoft Sentinel 提供兩個不同的記錄儲存體方案或類型,以因應這些擷取資料類別。
Analytics 記錄方案旨在儲存主要安全性資料,讓資料以高效能的方式供輕鬆持續存取。
Auxiliary 記錄方案旨在長期以極低成本儲存次要安全性資料,同時仍支援有限的可存取性。
第三個方案 Basic 記錄是輔助記錄方案的前身,可在輔助記錄方案依舊為預覽版時作為替代方案。
這些方案每個都會保留兩種不同狀態的資料:
互動式保留狀態是擷取資料的初始狀態。 視方案而定,此狀態允許不同的資料存取層級,而且此狀態的成本根據方案而有所不同。
長期保留狀態將原始資料表中的舊資料保留高達 12 年,不論方案為何都成本極低。
如需保留狀態的詳細資訊,請參閱管理 Log Analytics 工作區中的資料保留期間。
下圖摘要說明並比較這兩個記錄管理方案。
Analytics 記錄方案
根據預設,Analytics 記錄方案會將資料保留在互動式保留狀態 90 天,最多可延長兩年。 這種互動式狀態雖然昂貴,但可讓您以無限制的方式查詢資料,而且效能很高,每次查詢都不收費。
互動式保留期間結束時,資料會進入長期保留狀態,同時保留在原始資料表中。 預設不會定義長期保留期間,但您可以將它定義為最長 12 年。 基於符合法規合規性或內部原則之目的,此保留狀態會以極低成本保留您的資料。 您只能藉由使用搜尋工作或還原,將有限的資料集提取到互動式保留的新資料表 (您可在此讓查詢功能發揮得淋漓盡致),才能存取此狀態的資料。
Auxiliary 記錄方案
Auxiliary 記錄方案讓資料維持互動式保留狀態 30 天。 相較於分析方案,在 Auxiliary 方案此狀態的保留成本非常低。 不過,查詢功能有限:查詢會依掃描的每 GB 資料收費,而且僅限於單一資料表,效能也會大幅降低。 雖然此資料依舊是互動式保留狀態,但您可以在此資料執行摘要規則,在 Analytics 記錄方案建立彙總摘要資料的資料表,讓您可以在此彙總資料擁有完整的查詢功能。
互動式保留期間結束時,資料會進入長期保留狀態,保留在原始資料表中。 Auxiliary 記錄方案中的長期保留,類似 Analytics 記錄方案中的長期保留,不同之處在於,搜尋工作是存取資料的唯一選項。 Auxiliary 記錄方案不支援還原。
Basic 記錄方案
第三個方案稱為 Basic 記錄,提供與 Auxiliary 記錄方案類似的功能,但互動式保留成本較高 (雖然不如 Analytics 記錄方案高)。 雖然 Auxiliary 記錄方案仍為預覽版,但如果貴組織未使用預覽功能,則 Basic 記錄可作為長期低成本保留的選項。 若要深入了解 Basic 記錄方案,請參閱 Azure 監視器文件中的 Table 方案。
相關內容
如需更深入的記錄資料方案比較,以及更多有關記錄類型的一般資訊,請參閱 Azure 監視器記錄概觀 | Table 方案 (內容為機器翻譯)。
若要在 Auxiliary 記錄方案設定資料表,請參閱在 Log Analytics 工作區中設定使用輔助方案的資料表 (預覽)。
若要深入了解跨方案的保留期間,請參閱管理 Log Analytics 工作區中的資料保留期間。