Implementace Microsoft Sentinel Data Lake pro dlouhodobé uchovávání

Implementace Microsoft Sentinel Data Lake pro dlouhodobé uchovávání

  1. února 2026

Úvod: Rostoucí potřeba uchovávání bezpečnostních dat

Do roku 2026 dosáhl objem dat generovaných bezpečnostními systémy, sítěmi a aplikacemi exponenciální úrovně. Shromažďování a analýza těchto dat je zásadní pro zjišťování hrozeb, vyšetřování incidentů a udržování vaší bezpečnostní pozice. Uchovávání bezpečnostních protokolů po dlouhou dobu však představuje značné problémy, zejména související s náklady a schopností efektivně přistupovat a analyzovat [1].

Předpisy o shodě, jako je GDPR, LGPD, HIPAA a další specifické oborové předpisy, se vyvinuly tak, že vyžadují, aby organizace uchovávaly bezpečnostní protokoly po čím dál delší dobu, často přesahující 90 dní, které tradičně nabízejí řešení Security Information and Event Management (SIEM) pro horké úložiště. Uchovávání těchto dat na vysoce výkonném úložišti po mnoho let se může stát neúnosně drahé, což nutí organizace činit obtížná rozhodnutí mezi dodržováním předpisů, vyšetřovací kapacitou a rozpočtem [2].

K vyřešení tohoto dilematu společnost Microsoft představila Microsoft Sentinel Data Lake, inovativní řešení, které organizacím umožňuje ukládat obrovské objemy bezpečnostních dat za výrazně snížené náklady, aniž by byly ohroženy možnosti rychlého vyhledávání a analýzy. Sentinel Data Lake se hladce integruje s Microsoft Sentinel a rozšiřuje své možnosti uchovávání dat nad rámec Log Analytics využitím levné, ale stále dostupné vrstvy úložiště pro dotazy KQL (Kusto Query Language) [3].

Tento technický a vzdělávací článek si klade za cíl pomoci bezpečnostním analytikům, datovým architektům a správcům IT pochopit a implementovat Microsoft Sentinel Data Lake. Pokryjeme výhody, předpoklady a podrobného podrobného průvodce konfigurací a správou dlouhodobého uchovávání vašich bezpečnostních protokolů, zajištěním souladu a efektivními vyšetřovacími schopnostmi.

The Log Retention Challenge a Sentinel Data Lake Solution

Ukládání bezpečnostních protokolů po dlouhou dobu je nezbytné z několika důvodů:

  • Soulad s předpisy: Mnoho průmyslových odvětví a jurisdikcí vyžaduje uchovávání bezpečnostních dat po několik let pro účely auditu a dodržování předpisů.

  • Vyšetřování perzistentních hrozeb (APT): Pokročilé, přetrvávající útoky mohou zůstat nezjištěny celé měsíce. Historická data jsou zásadní pro vyhledávání hrozeb a pochopení celé časové osy incidentu.

  • Forenzní analýza: V případě narušení jsou staré protokoly životně důležité pro forenzní analýzu, která pomáhají určit hlavní příčinu, rozsah kompromitace a akce, které útočník provedl.

  • Analýza trendů a vylepšení pozice: Historická data umožňují bezpečnostním týmům identifikovat trendy útoků, vyhodnocovat efektivitu obrany v průběhu času a neustále zlepšovat pozici zabezpečení.

Hlavní překážkou dlouhodobého uchovávání byly vždy náklady na „horké“ úložiště v Log Analytics, které je optimalizováno pro přijímání a dotazování v reálném čase. Sentinel Data Lake to řeší takto:

  • Používejte nízkonákladové úložiště: Historická data se přesouvají do levné vrstvy úložiště, jako je Azure Data Lake Storage Gen2 (ADLS Gen2), které je optimalizováno pro velké objemy dat a příležitostný přístup, ale stále má přijatelný výkon pro analytické dotazy [4].

  • Zachování schopnosti dotazů KQL: Na rozdíl od tradičních archivačních řešení, která vyžadují úplnou rehydrataci dat pro dotazování, Sentinel Data Lake umožňuje Sentinelu spouštět dotazy KQL přímo na data uložená v ADLS Gen2. To znamená, že analytici mohou přistupovat k historickým datům a analyzovat je bez přerušení nebo významného zpoždění.

  • Simplified Management: Nativní integrace s Microsoft Sentinel zjednodušuje správu životního cyklu dat automatizací převodu dat z Log Analytics do Data Lake na základě definovaných zásad uchovávání.

Provozní principy Microsoft Sentinel Data Lake

Fungování Sentinel Data Lake je založeno na několika klíčových principech:

  1. Vrstvy úložiště: Data protokolu jsou zpočátkua vložené do Log Analytics ("horká" vrstva) pro analýzu v reálném čase. Po uplynutí konfigurovatelné doby se automaticky přesunou do Azure Data Lake Storage Gen2 („studená“ nebo archivní vrstva).

  2. Open Format: Data jsou uložena v Data Lake v otevřeném formátu (např. Parquet), který umožňuje nejen dotazy přes Sentinel, ale také použití dalších analytických nástrojů Azure (jako je Azure Synapse Analytics, Azure Databricks) pro hlubší analýzy nebo integraci s jinými systémy.

  3. Unified Query: Microsoft Sentinel nabízí jednotné rozhraní dotazů, kde mohou analytici spouštět dotazy KQL, které pokrývají jak „horká“ data v Log Analytics, tak „studená“ data v Data Lake, aniž by museli vědět, kde jsou data fyzicky uložena [5].

  4. Zabezpečení a správa: Data Lake zdědí možnosti zabezpečení Azure Storage, včetně šifrování v klidu a při přenosu, řízení přístupu založeného na rolích (RBAC) a integrace s Azure Purview pro správu dat.

Předpoklady pro implementaci

K implementaci Microsoft Sentinel Data Lake budete potřebovat následující prvky:

  • Aktivní předplatné Azure: S oprávněními k vytváření prostředků účtu úložiště a konfiguraci Microsoft Sentinel.

  • Microsoft Sentinel Configured: Pracovní prostor Log Analytics s již nasazeným Microsoft Sentinel a shromažďováním protokolů.

  • Microsoft Sentinel Licensing: Cena Sentinel Data Lake je založena na úložišti ADLS Gen2 a spuštěných dotazech plus náklady na příjem a uchování Log Analytics.

  • Přístup pro správce: Účty s oprávněními přispěvatel nebo vlastník v předplatném Azure a pracovním prostoru Log Analytics.

Podrobný průvodce: Konfigurace Microsoft Sentinel Data Lake

Konfigurace Sentinel Data Lake zahrnuje zřízení účtu úložiště a integraci s Microsoft Sentinel.

Krok 1: Poskytnutí Azure Data Lake Storage Gen2

Azure Data Lake Storage Gen2 je základem pro dlouhodobé ukládání vašich protokolů zabezpečení.

  1. Vytvoření účtu úložiště: Na webu Azure Portal vyhledejte „Účty úložiště“ a klikněte na + Vytvořit. Vyplňte základní údaje:

  2. Předplatné: Vyberte své předplatné Azure.

  3. Skupina prostředků: Vytvořte novou nebo vyberte existující. Je dobrým zvykem mít vyhrazenou skupinu prostředků pro bezpečnostní prostředky.

  4. Název účtu úložiště: Vyberte jedinečný, globálně jedinečný název (např. „sentinellakedata“).

  5. Region: Vyberte stejnou oblast jako pracovní prostor Log Analytics, abyste optimalizovali výkon a minimalizovali náklady na přenos dat.

  6. Výkon: Vyberte Standardní (pro většinu případů použití archivace).

  7. Typ účtu: Vyberte StorageV2 (univerzální v2).

  8. Redundance: Vyberte možnost redundance, která nejlépe vyhovuje vašim požadavkům na odolnost a náklady (např. GRS pro vysokou odolnost, LRS pro nižší náklady).

  9. Povolte hierarchický jmenný prostor: Na kartě Upřesnit během vytváření účtu úložiště zkontrolujte, zda je funkce "Hierarchický jmenný prostor" Povoleno. Toto je požadavek na funkčnost ADLS Gen2 a Sentinel Data Lake.

  10. Zkontrolovat a vytvořit: Zkontrolujte nastavení a klikněte na Vytvořit.

Krok 2: Připojení Azure Sentinel k Data Lake

Po zřízení úložiště je potřeba integrovat Data Lake s pracovním prostorem Azure Sentinel.

  1. Přejděte na portál Microsoft Sentinel: Na portálu Azure vyhledejte „Microsoft Sentinel“ a vyberte svůj pracovní prostor.

  2. Přejděte na Nastavení pracovního prostoru: V navigační nabídce Sentinel přejděte na Nastavení > Nastavení pracovního prostoru.

  3. Vyberte možnost „Uchovávání a archivace dat“: V nastavení pracovního prostoru najdete novou možnost (zavedenou v roce 2026) s názvem „Uchovávání a archivace dat“.

  4. Connect Data Lake: Klikněte na "Connect Data Lake". Rozhraní vás provede výběrem účtu úložiště ADLS Gen2, který jste vytvořili v kroku 1. Sentinel automaticky vytvoří potřebná oprávnění.

Krok 3: Definování zásad archivace dat

S připojeným Data Lake nyní můžete definovat, které tabulky protokolů budou archivovány a jak dlouhoa

  1. Vyberte tabulky protokolů: V části "Uchovávání a archivace dat" uvidíte seznam všech tabulek protokolů přijatých do vašeho pracovního prostoru Log Analytics. Vyberte tabulky, které chcete archivovat do Data Lake (např. SecurityEvent, SigninLogs, AzureActivity, Syslog). Doporučuje se archivovat kritické bezpečnostní protokoly pro zajištění souladu a vyšetřování.

  2. Nastavte dobu uchování v Log Analytics: Pro každou vybranou tabulku nastavte dobu uchování pro „horké“ úložiště v Log Analytics (např.: 30, 60 nebo 90 dní). Po uplynutí této doby budou data přesunuta do Data Lake.

  3. Definujte dobu uchování v Data Lake: Dále definujte dobu uchování dat v Data Lake (např.: 1 rok, 3 roky, 7 let). Toto období musí být v souladu s vašimi požadavky na dodržování předpisů a interními zásadami uchovávání dat.

  4. Uložit změny: Potvrďte zásady archivace. Azure Sentinel automaticky začne přesouvat data do Data Lake po období uchování Log Analytics, bez nutnosti ručního zásahu.

Monitorování a správa Sentinel Data Lake

  • Sledování stavu: Sentinel poskytuje monitorovací panely pro sledování stavu archivace dat, včetně objemu přesunutých dat, případných chyb a úložného prostoru použitého v Data Lake.

  • Unified KQL Queries: Pokračujte v používání Kusto Query Language (KQL) v Azure Sentinel k dotazování na svá data. Sentinel abstrahuje umístění úložiště, takže vaše dotazy mohou hladce běžet na „horká“ i „studená“ data. Například dotaz SecurityEvent | kde TimeGenerated > ago(2y) v případě potřeby načte data z Log Analytics i Data Lake.

  • Optimalizace nákladů: Sledujte náklady spojené s ADLS Gen2 a podle potřeby upravte své zásady uchovávání. Zvažte použití různých úrovní přístupu (hot, cool, archiv) v rámci ADLS Gen2, abyste dále optimalizovali náklady na data, ke kterým se přistupuje méně často.

  • Data Lake Security: Použijte osvědčené postupy zabezpečení Azure Storage na své ADLS Gen2, včetně řízení přístupu založeného na rolích (RBAC), šifrování dat, zásad přístupu a monitorování aktivity.

Závěr

Implementace Microsoft Sentinel Data Lake v roce 2026 je základní strategií pro organizace, které chtějí vyvážit dlouhodobé požadavky na dodržování předpisů s potřebou řídit náklady na ukládání dat na zabezpečení. Rozšířením možností uchovávání Microsoft Sentinel a umožněním sjednocených dotazů KQL na historická data s nízkými náklady umožňuje Data Lake bezpečnostním týmům provádět hloubková forenzní vyšetřování, trvalé vyhledávání hrozeb a udržovat soulad s předpisy, aniž by byl ohrožen rozpočet. Přijetí tohoto řešení není jen otázkou dodržování předpisů, ale strategickým rozhodnutím k posílení kybernetické odolnosti a schopnosti reagovat na incidenty v neustále se vyvíjejícím prostředí hrozeb.

Reference

[1] Microsoft Tech Community. "Měsíční novinky - duben 2026." Dostupné na: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050)