Adatok átalakítása vagy testreszabása betöltési időpontban a Microsoft Sentinelben (előzetes verzió)
Ez a cikk bemutatja, hogyan konfigurálhatja a betöltési idő szerinti adatátalakítást és az egyéni naplóbetöltést a Microsoft Sentinelben való használatra.
A betöltési idő adatátalakítása nagyobb ellenőrzést biztosít az ügyfelek számára a betöltött adatok felett. A szabványos táblákat létrehozó előre konfigurált, kemény kódolású munkafolyamatok kiegészítéseként a betöltési idő átalakításával még a lekérdezések futtatása előtt is szűrheti és bővítheti a kimeneti táblákat. Az egyéni naplóbetöltés az Egyéni napló API használatával normalizálja az egyéni formátumú naplókat, hogy bizonyos szabványos táblákba lehessen őket betöltésre, vagy másik lehetőségként testre szabott kimeneti táblákat hozhat létre felhasználó által definiált sémákkal ezen egyéni naplók betöltéséhez.
Ez a két mechanizmus az adatgyűjtési szabályok (DCR-ek) használatával van konfigurálva, akár a Log Analytics portálon, akár API- vagy ARM-sablonon keresztül. Ez a cikk segítséget nyújt az adott adatösszekötőhöz szükséges DCR kiválasztásában, és az egyes forgatókönyvek utasításaihoz irányítja.
Előfeltételek
Mielőtt elkezdené konfigurálni a DCR-eket az adatátalakításhoz:
További információ az azure monitor és a Microsoft Sentinel adatátalakításáról és DCR-eiről. További információk:
Ellenőrizze az adatösszekötő támogatását. Győződjön meg arról, hogy az adatösszekötők támogatottak az adatátalakításhoz.
Az adatösszekötők referenciacikkében tekintse meg az adatösszekötő szakaszát, amelyből megtudhatja, hogy mely dcR-típusok támogatottak. Ebből a cikkből megtudhatja, hogy a kiválasztott DCR-típus hogyan befolyásolja a betöltési és átalakítási folyamat többi részét.
A követelmények meghatározása
| Ha betölti | A betöltési idő átalakítás... | Használja ezt a DCR-típust |
|---|---|---|
| Egyéni adatok a a Log Ingestion API |
Standard DCR | |
| Beépített adattípusok (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) az Azure Monitor-ügynök használata |
Standard DCR | |
| Beépített adattípusok a legtöbb más forrásból |
Munkaterület-átalakítás – DCR |
Az adatátalakítás konfigurálása
A Log Analytics és az Azure Monitor dokumentációjának alábbi eljárásaival konfigurálhatja az adatátalakítás tartományvezérlőit:
Közvetlen betöltés a Log Ingestion API-val:
- Útmutató a naplók Azure Portalon való betöltéséhez.
- Útmutató a naplók Azure Resource Manager-sablonokkal és REST API-val való betöltéséhez.
- Útmutató a munkaterület-átalakítás Azure Portalon való konfigurálásához.
- Útmutató a munkaterület-átalakítás Azure Resource Manager-sablonok és REST API használatával történő konfigurálásához.
További információ az adatgyűjtési szabályokról:
- Adatgyűjtési szabály felépítése az Azure Monitorban (előzetes verzió)
- Adatgyűjtési átalakítások az Azure Monitorban (előzetes verzió)
Ha végzett, térjen vissza a Microsoft Sentinelhez, és ellenőrizze, hogy az adatok betöltése az újonnan konfigurált átalakítás alapján történik-e. Az adatátalakítási konfigurációk alkalmazása akár 60 percet is igénybe vehet.
Migrálás betöltési idejű adatátalakításra
Ha jelenleg egyéni Microsoft Sentinel-adatösszekötőkkel vagy beépített API-alapú adatösszekötőkkel rendelkezik, érdemes lehet áttelepíteni a betöltési idejű adatátalakításra.
Kövesse az alábbi módszerek egyikét:
Konfiguráljon egy DCR-t az adatforrásból egy új táblába való egyéni betöltés definiálásához. Ezt a lehetőséget akkor használhatja, ha olyan új sémát szeretne használni, amely nem rendelkezik az aktuális oszlop utótagokkal, és nem igényel lekérdezési idejű KQL-függvényeket az adatok szabványosításához.
Miután ellenőrizte, hogy az adatok megfelelően kerülnek-e az új táblába, törölheti az örökölt táblát, valamint az örökölt egyéni adatösszekötőt.
Folytassa az egyéni adatösszekötő által létrehozott egyéni táblázat használatát. Ezt a lehetőséget akkor használhatja, ha sok egyéni biztonsági tartalmat hozott létre a meglévő táblához. Ilyen esetekben lásd : Migrálás a Data Collector API-ból és az egyéni mezőkkel kompatibilis táblákból a DCR-alapú egyéni naplókba az Azure Monitor dokumentációjában.
Következő lépések
Az adatátalakítással és a DCR-kkel kapcsolatos további információkért lásd:
- Egyéni adatbetöltés és -átalakítás a Microsoft Sentinelben (előzetes verzió)
- Adatgyűjtési átalakítások az Azure Monitor-naplókban (előzetes verzió)
- Naplóbetöltési API az Azure Monitor-naplókban (előzetes verzió)
- Adatgyűjtési szabály felépítése az Azure Monitorban (előzetes verzió)
- Adatgyűjtés konfigurálása az Azure Monitor-ügynökhöz