Welke datasources worden in Sentinel geonboard?
Wanneer u Microsoft Sentinel onboardt via Attic Security, wordt er automatisch een Log Analytics Workspace met Microsoft Sentinel ingericht, inclusief diverse databronnen. Dit artikel beschrijft precies wat er wordt uitgerold, welke gegevens elke databron verzamelt en hoe lang deze worden bewaard.
Workspace Configuratie
Attic Security maakt een Log Analytics Workspace aan in uw Azure-abonnement met de volgende instellingen:
| Instelling | Waarde |
|---|---|
| SKU | PerGB2018 (betalen naar gebruik) |
| Standaard bewaartermijn | 90 dagen |
Microsoft Sentinel wordt bovenop deze workspace geactiveerd.
Overzicht Databronnen
De onderstaande tabel geeft een overzicht van alle databronnen die tijdens de onboarding worden geconfigureerd:
| Databron | Sentinel Tabel | Bereik | Inbegrepen |
|---|---|---|---|
| Azure Activity Logs | AzureActivity |
Alle abonnementen in de home-tenant | Altijd |
| Office 365 Connector | OfficeActivity |
Tenantbreed | Altijd |
| Microsoft Defender Alerts | AlertInfo |
Tenantbreed | Altijd |
| Entra ID Logs | Meerdere (zie hieronder) | Tenantbreed | Uitgebreide logging |
| Microsoft Defender Evidence | AlertEvidence |
Tenantbreed | Uitgebreide logging |
Uitgebreide logging: Tijdens de onboarding wordt u gevraagd of u uitgebreide logging wilt inschakelen (Entra ID Logs en Defender Alert Evidence). Deze databronnen genereren extra logvolume en brengen aanvullende opnamekosten met zich mee in uw Log Analytics Workspace. Als u hiervoor kiest, worden beide databronnen tegelijk ingeschakeld. Attic Security raadt aan om uitgebreide logging in te schakelen, aangezien deze logs essentieel zijn voor het detecteren van identiteitsgebaseerde dreigingen en het onderzoeken van
beveiligingsincidenten.
1. Azure Activity Logs
Azure Activity Logs worden geconfigureerd via Diagnostic Settings op elk toegankelijk abonnement in uw home-tenant. Abonnementen van andere tenants en abonnementen die via Azure Lighthouse zijn gedelegeerd, worden uitgesloten.
Verzamelde logcategorieen:
- Administrative -- Beheerbewerkingen op resources (aanmaken, bijwerken, verwijderen)
- Security -- Waarschuwingen gegenereerd door Microsoft Defender for Cloud
- ServiceHealth -- Service Health-incidenten die uw resources beinvloeden
- Alert -- Azure Monitor-waarschuwingen
- Recommendation -- Aanbevelingen van Azure Advisor
- Policy -- Azure Policy-evaluatiegebeurtenissen
- Autoscale -- Autoscale-bewerkingen
- ResourceHealth -- Wijzigingen in de status van resources
Bewaartermijn: 90 dagen (standaard workspace-instelling)
2. Office 365 Data Connector
De Office 365 data connector wordt ingeschakeld voor uw tenant met de volgende gegevenstypen:
- Exchange -- Auditlogs van mailboxen (beheerders- en gebruikersactiviteiten in Exchange Online)
- SharePoint -- Gebruikers- en beheerdersactiviteiten in SharePoint Online en OneDrive voor Bedrijven
- Teams -- Gebruikers- en beheerdersactiviteiten in Microsoft Teams (chats, vergaderingen, teambewerkingen)
Bewaartermijn: 90 dagen (standaard workspace-instelling)
3. Microsoft Defender Alerts (via Streaming API)
Waarschuwingen van Microsoft Defender for Endpoint worden naar uw Sentinel-workspace gestreamd via de Microsoft Defender SecurityCenter streaming API.
Verzamelde gegevens:
- AlertInfo -- Metadata van waarschuwingen, waaronder alert-ID, titel, ernst, categorie, detectiebron en status
Bewaartermijn: 90 dagen (standaard workspace-instelling)
4. Entra ID Logs (Uitgebreide Logging)
Entra ID (voorheen Azure Active Directory) diagnostische logs bieden diepgaand inzicht in identiteitsactiviteiten binnen uw tenant. Deze databron wordt ingeschakeld wanneer u tijdens de onboarding kiest voor uitgebreide logging. Omdat deze logs een aanzienlijk volume kunnen genereren, brengen ze extra opnamekosten met zich mee.
Verzamelde logcategorieen:
| Categorie | Beschrijving |
|---|---|
| SignInLogs | Interactieve aanmeldactiviteiten van gebruikers |
| AuditLogs | Directorywijzigingen (gebruikers-, groeps- en app-beheer) |
| NonInteractiveUserSignInLogs | Aanmeldingen door client-apps of OS-componenten namens een gebruiker |
| ServicePrincipalSignInLogs | Aanmeldingen door applicaties en service principals |
| ManagedIdentitySignInLogs | Aanmeldingen door Azure managed identities |
| ProvisioningLogs | Gebruikersprovisioning-activiteiten door de provisioningservice |
| ADFSSignInLogs | Aanmeldactiviteiten via Active Directory Federation Services |
Bewaartermijn: 90 dagen (standaard workspace-instelling)
5. Microsoft Defender Alert Evidence (Uitgebreide Logging)
Wanneer u kiest voor uitgebreide logging, wordt de Defender streaming API ook uitgebreid met:
- AlertEvidence -- Gedetailleerd bewijsmateriaal bij waarschuwingen (bestanden, processen, IP-adressen, URL's, registervermeldingen en andere entiteiten gerelateerd aan elke waarschuwing)
Deze databron wordt altijd samen met Entra ID Logs ingeschakeld als onderdeel van de optie voor uitgebreide logging.
Bewaartermijn: 90 dagen (standaard workspace-instelling)
Bewaartermijn Samenvatting
Alle gegevens die in uw Sentinel-workspace worden opgenomen, hebben een standaard bewaartermijn van 90 dagen. Na deze periode worden de gegevens automatisch uit de workspace verwijderd. Als u een langere bewaartermijn nodig heeft, kan dit worden aangepast in de instellingen van de Log Analytics Workspace in de Azure-portal (let op: een verlengde bewaartermijn kan extra kosten met zich meebrengen).