Egyéni adatbetöltés és -átalakítás a Microsoft Sentinelben
Az Azure Monitor Log Analyticse a Microsoft Sentinel-munkaterület mögötti platformként szolgál. A Microsoft Sentinelbe betöltött naplók alapértelmezés szerint a Log Analyticsben vannak tárolva. A Microsoft Sentinelben hozzáférhet a tárolt naplókhoz, és Kusto lekérdezésnyelv (KQL) lekérdezéseket futtathat a fenyegetések észleléséhez és a hálózati tevékenység figyeléséhez.
A Log Analytics egyéni adatbetöltési folyamata magas szintű vezérlést biztosít a betöltött adatok felett. Adatgyűjtési szabályokat (DCR-eket) használ az adatok gyűjtésére és módosítására még azelőtt, hogy azokat a munkaterületen tárolták volna. Ez lehetővé teszi a standard táblák szűrését és bővítését, valamint az egyedi naplóformátumokat létrehozó forrásokból származó adatok tárolására szolgáló, nagy mértékben testre szabható táblák létrehozását.
A Microsoft Sentinel két eszközt biztosít a folyamat vezérléséhez:
A Naplók betöltési API lehetővé teszi, hogy bármilyen adatforrásból egyéni formátumú naplókat küldjön a Log Analytics-munkaterületre, és ezeket a naplókat vagy bizonyos szabványos táblákban, vagy a létrehozott egyéni formátumú táblákban tárolja. Teljes mértékben szabályozhatja ezeknek az egyéni tábláknak a létrehozását, egészen az oszlopnevek és -típusok megadásáig. DcRs-eket hozhat létre, amelyekkel átalakításokat definiálhat, konfigurálhat és alkalmazhat ezekre az adatfolyamokra.
Az adatgyűjtés átalakítása DCR-ekkel alapszintű KQL-lekérdezéseket alkalmaz a bejövő szabványos naplókra (és bizonyos típusú egyéni naplókra), mielőtt a munkaterületen tárolva lennének. Ezek az átalakítások kiszűrhetik a irreleváns adatokat, elemzésekkel vagy külső adatokkal bővíthetik a meglévő adatokat, illetve elfedhetik a bizalmas vagy személyes adatokat.
Ezt a két eszközt az alábbiakban részletesebben ismertetjük.
Esetek és mintaforgatókönyvek használata
Szűrés
A betöltési idő átalakítás lehetővé teszi, hogy kiszűrje az irreleváns adatokat még azelőtt, hogy először tárolva lenne a munkaterületen.
A rekord (sor) szintjén szűrhet, ha megszűri azokat a feltételeket, amelyekhez a rekordokat belefoglalja, vagy a mező (oszlop) szintjén, ha eltávolítja az adott mezők tartalmát. Az irreleváns adatok szűrése a következőkre képes:
- Segítség a költségek csökkentéséhez a tárolási követelmények csökkentése érdekében
- A teljesítmény javítása, mivel kevesebb lekérdezési időre van szükség
A betöltési idő adatátalakítása több munkaterületes forgatókönyveket támogat.
Normalizálás
A betöltési idő átalakításával normalizálhatja a naplókat, ha beépített vagy ügyfél által normalizált táblákba vannak betöltve az Advanced Security Information Model (ASIM) használatával. A betöltési idő normalizálása javítja a normalizált lekérdezések teljesítményét.
További információ: Betöltési idő normalizálása.
Bővítés és címkézés
A betöltési idő átalakításával az elemzést is javíthatja azáltal, hogy a konfigurált KQL-átalakításhoz hozzáadott további oszlopokkal bővíti az adatokat. A további oszlopok közé tartozhatnak a meglévő oszlopokból származó elemzési vagy számított adatok, illetve a menet közben létrehozott adatstruktúrákból származó adatok.
Hozzáadhat például további információkat, például külső HR-adatokat, bővített eseményleírást vagy a felhasználótól, helytől vagy tevékenységtípustól függő besorolásokat.
Maszkolás
A betöltési idejű átalakítások a személyes adatok maszkolására vagy eltávolítására is használhatók. Adatátalakítással például elfedheti egy társadalombiztosítási szám vagy hitelkártyaszám összes utolsó számjegyét, vagy más típusú személyes adatokat helyettesíthet nonszensz, szabványos szöveg vagy hamis adatokkal. A személyes adatok maszkolása a betöltési időben a hálózat biztonságának növelése érdekében.
Adatbetöltési folyamat a Microsoft Sentinelben
Az alábbi képen az látható, hogy a betöltési idő szerinti adatátalakítás hol lép be az adatbetöltési folyamatba a Microsoft Sentinelben.
A Microsoft Sentinel több forrásból gyűjt adatokat a Log Analytics-munkaterületre.
- A beépített adatösszekötőkből származó adatokat a Log Analytics a munkaterület DCR-ben rögzített munkafolyamatok és betöltési idő átalakítások kombinációjával dolgozza fel. Ezek az adatok szabványos táblákban vagy egyéni táblák meghatározott készletében tárolhatók.
- A Logs ingestion API-végpontba közvetlenül betöltött adatokat egy szabványos DCR dolgozza fel, amely betöltési idő átalakítást is tartalmazhat. Ezek az adatok ezután bármilyen szabványos vagy egyéni táblában tárolhatók.
DCR-támogatás a Microsoft Sentinelben
A Log Analyticsben az adatgyűjtési szabályok (DCR-ek) határozzák meg a különböző bemeneti adatfolyamok adatfolyamát. Az adatfolyam magában foglalja az átalakítandó adatfolyamot (standard vagy egyéni), a cél-munkaterületet, a KQL-átalakítást és a kimeneti táblát. Standard bemeneti streamek esetén a kimeneti tábla megegyezik a bemeneti adatfolyamkal.
A Microsoft Sentinel DCR-einek támogatása a következőket tartalmazza:
Standard DCR-ek, amelyek jelenleg csak AMA-alapú összekötők és munkafolyamatok esetében támogatottak a Logs ingestion API használatával.
Minden összekötő vagy naplóforrás munkafolyamata rendelkezhet saját dedikált standard DCR-sel, de több összekötő vagy forrás is megoszthat egy közös standard DCR-t .
Munkaterület-átalakítási DCR-ek olyan munkafolyamatokhoz, amelyek jelenleg nem támogatják a szabványos DCR-eket.
Egyetlen munkaterület-átalakítási DCR az összes támogatott munkafolyamatot kiszolgálja egy munkaterületen, amelyet nem a standard DCR-ek szolgálnak ki. A munkaterületek csak egy munkaterület-átalakítási DCR-sel rendelkezhetnek, de a DCR külön átalakításokat tartalmaz az egyes bemeneti adatfolyamokhoz. Emellett a munkaterület-átalakítási DCR-kcsak bizonyos táblák esetében támogatottak.
A Microsoft Sentinel a betöltési idő átalakításának támogatása a használt adatösszekötő típusától függ. Az egyéni naplókkal, a betöltési idő átalakításával és az adatgyűjtési szabályokkal kapcsolatos részletesebb információkért tekintse meg a cikk végén, a Kapcsolódó tartalom szakaszban hivatkozott cikkeket.
DCR-támogatás Microsoft Sentinel-adatösszekötőkhöz
Az alábbi táblázat a Microsoft Sentinel adatösszekötő-típusok DCR-támogatását ismerteti:
| Adatösszekötő típusa | DCR-támogatás |
|---|---|
| Közvetlen betöltés a Logs ingestion API-val | Standard DCR-ek |
|
Standard AMA-naplók, például: |
Standard DCR-ek |
| Diagnosztikai beállításokon alapuló kapcsolatok | Munkaterület-átalakítási DCR-ek adott adatösszekötők támogatott kimeneti táblái alapján |
|
Beépített, szolgáltatásközi adatösszekötők, például: |
Munkaterület-átalakítási DCR-ek adott adatösszekötők támogatott kimeneti táblái alapján |
|
Beépített API-alapú adatösszekötő, például: |
Standard DCR-ek |
|
Beépített API-alapú adatösszekötők, például: |
Jelenleg nem támogatott |
Adatátalakítás támogatása egyéni adatösszekötőkhöz
Ha egyéni adatösszekötőket hozott létre a Microsoft Sentinelhez, a DCR-ek segítségével konfigurálhatja az adatok elemzésének és tárolásának módját a Log Analyticsben a munkaterületen.
Az egyéni naplóbetöltések jelenleg csak a következő táblákat támogatják:
- WindowsEvent
- SecurityEvent
- CommonSecurityLog
- Syslog
- ASimAuditEventLogs
- ASimAuthenticationEventLogs
- ASimDnsActivityLogs
- ASimFileEventLogs
- ASimNetworkSessionLogs
- ASimWebSessionLogs
További információ: A betöltési idő átalakításait támogató táblázatok.
Korlátozások
A betöltési idő adatátalakítása jelenleg a Microsoft Sentinel adatösszekötőkkel kapcsolatos ismert problémákat tartalmazza:
A munkaterület-átalakítási DCR-ket használó adatátalakítások csak táblánként támogatottak, összekötőnként nem.
Egy teljes munkaterülethez csak egy munkaterület-átalakítási DCR lehet. A DCR-ben minden tábla külön bemeneti adatfolyamot használhat saját átalakítással. Az adatok több célhelyre (Log Analytics-munkaterületre) való felosztása munkaterület-átalakítási DCR-vel nem lehetséges. Az AMA-alapú adatösszekötők a társított DCR-ben definiált konfigurációt használják a bemeneti és kimeneti adatfolyamokhoz és átalakításokhoz, és figyelmen kívül hagyják a munkaterület-átalakítási DCR-t.
A következő konfigurációk csak API-val támogatottak:
Standard DCR-ek az AMA-alapú összekötőkhöz, például Windows biztonság eseményekhez és Windows továbbított eseményekhez.
Standard DCRs az egyéni naplóbetöltéshez egy standard táblába.
Az adatátalakítási konfigurációk alkalmazása akár 60 percet is igénybe vehet.
KQL szintaxis: Nem minden operátor támogatott. További információ: KQL-korlátozások és támogatott KQL-funkciók az Azure Monitor dokumentációjában.
Naplókat csak egy adott adatforrásból küldhet egy munkaterületre. Ha egyetlen adatforrásból szeretne adatokat küldeni több munkaterületre (célhelyre) szabványos DCR-vel, hozzon létre munkaterületenként egy DCR-t.
Kapcsolódó tartalom
További információk:
- Adatok átalakítása vagy testreszabása betöltési időpontban a Microsoft Sentinelben (előzetes verzió)
- Microsoft Sentinel-adatösszekötők
- A Microsoft Sentinel-adatösszekötő megkeresése
A betöltési idő átalakításával, az Egyéni naplók API-val és az adatgyűjtési szabályokkal kapcsolatos részletesebb információkért tekintse meg az Azure Monitor dokumentációjának alábbi cikkeit: