Előzményadatok betöltése a célplatformba

Az előző cikkekben kiválasztott egy célplatformot az előzményadatokhoz. Emellett kiválasztott egy eszközt az adatok átviteléhez és az előzményadatok átmeneti helyen való tárolásához. Most már megkezdheti az adatok betöltését a célplatformba.

Ez a cikk bemutatja, hogyan lehet az előzményadatokat a kiválasztott célplatformba betölteni.

Adatok exportálása az örökölt SIEM-ből

A SIEM-ek általában exportálhatnak vagy memóriaképeket a helyi fájlrendszer egy fájljához, így ezzel a módszerrel kinyerheti az előzményadatokat. Fontos az is, hogy beállítson egy átmeneti helyet az exportált fájlokhoz. Az adatbetöltés átviteléhez használt eszköz átmásolhatja a fájlokat az előkészítési helyről a célplatformra.

Ez az ábra a magas szintű exportálási és betöltési folyamatot mutatja be.

Ha az aktuális SIEM-ből szeretne adatokat exportálni, tekintse meg az alábbi szakaszok egyikét:

• Adatok exportálása az ArcSightból
• Adatok exportálása a Splunkból
• Adatok exportálása a QRadarból

Betöltés az Azure Data Explorerbe

Az előzményadatok betöltése az Azure Data Explorerbe (ADX) (a fenti diagram 1. lehetősége):

1. Telepítse és konfigurálja a LightIngestet azon a rendszeren, amelyen a naplók exportálva vannak, vagy telepítse a LightIngestet egy másik, az exportált naplókhoz hozzáféréssel rendelkező rendszerre. A LightIngest csak a Windowst támogatja.
2. Ha nincs meglévő ADX-fürtje, hozzon létre egy új fürtöt, és másolja a kapcsolati sztring. Megtudhatja, hogyan állíthatja be az ADX-et.
3. Az ADX-ben hozzon létre táblákat, és definiáljon egy sémát a CSV vagy JSON formátumhoz (QRadarhoz). Megtudhatja, hogyan hozhat létre táblázatot, és hogyan definiálhat sémát mintaadatokkal vagy mintaadatok nélkül.
4. Futtassa a LightIngest parancsot az exportált naplókat elérési útként tartalmazó mappa elérési útjával, kimenetként pedig az ADX kapcsolati sztring. A LightIngest futtatásakor győződjön meg arról, hogy megadja a cél ADX-tábla nevét, hogy az argumentumminta értéke *.csv, és a formátum (vagy json a QRadar esetében) van beállítva .csv .

Adatok betöltése a Microsoft Sentinel alapszintű naplóiba

Előzményadatok betöltése a Microsoft Sentinel alapnaplóiba (a fenti diagram 2. lehetősége):

1. Ha nem rendelkezik meglévő Log Analytics-munkaterülettel, hozzon létre egy új munkaterületet, és telepítse a Microsoft Sentinelt.

2. Hozzon létre egy alkalmazásregisztrációt az API-val való hitelesítéshez.

3. Hozzon létre egy egyéni naplótáblát az adatok tárolásához, és adjon meg egy adatmintát. Ebben a lépésben az adatok betöltése előtt is definiálhat átalakítást.

4. Gyűjtsön adatokat az adatgyűjtési szabályból , és rendeljen engedélyeket a szabályhoz.

5. Módosítsa a táblát az Analyticsről alapnaplókra.

6. Futtassa az egyéni naplóbetöltési szkriptet. A szkript a következő részleteket kéri:

   • A betöltendő naplófájlok elérési útja
   • Microsoft Entra-bérlőazonosító
   • Pályázat azonosítója
   • Alkalmazás titkos kódja
   • DCE-végpont (A naplóbetöltési végpont URI használata a DCR-hez)
   • A DCR nem módosítható azonosítója
   • Adatfolyam neve a DCR-ből

   A szkript a munkaterületre küldött események számát adja vissza.

Betöltés az Azure Blob Storage-ba

Előzményadatok betöltése az Azure Blob Storage-ba (a fenti diagram 3. lehetősége):

1. Telepítse és konfigurálja az AzCopyt azon a rendszeren, amelybe exportálta a naplókat. Másik lehetőségként telepítse az AzCopyt egy másik, az exportált naplókhoz hozzáféréssel rendelkező rendszerre.
2. Hozzon létre egy Azure Blob Storage-fiókot , és másolja ki az engedélyezett Microsoft Entra-azonosító hitelesítő adatait vagy a közös hozzáférésű jogosultságkód jogkivonatát.
3. Futtassa az AzCopyt az exportált naplókat forrásként tartalmazó mappa elérési útjával, kimenetként pedig az Azure Blob Storage kapcsolati sztring.

Következő lépések

Ebben a cikkben megtanulta, hogyan lehet adatokat betöltésre a célplatformba.