Mengubah atau menyesuaikan data pada waktu penyerapan di Microsoft Sentinel (pratinjau)
Artikel ini menjelaskan cara mengonfigurasi transformasi data waktu konsumsi dan penyerapan log kustom untuk digunakan di Microsoft Sentinel.
Transformasi data waktu konsumsi memberi pelanggan lebih banyak kontrol atas data yang tertelan. Melengkapi alur kerja yang telah dikonfigurasi sebelumnya dan dikodekan secara permanen yang membuat tabel standar, transformasi waktu penyerapan menambahkan kemampuan untuk memfilter dan memperkaya tabel output, bahkan sebelum menjalankan kueri apa pun. Penyerapan log kustom menggunakan API Log Kustom untuk menormalkan log format kustom sehingga dapat dicerna ke dalam tabel standar tertentu, atau sebagai alternatif, untuk membuat tabel output yang disesuaikan dengan skema yang ditentukan pengguna untuk menelan log kustom ini.
Kedua mekanisme ini dikonfigurasi menggunakan Aturan Pengumpulan Data (DDR), baik di portal Analitik Log, atau melalui templat API atau ARM. Artikel ini akan membantu Anda memilih jenis DCR yang Anda butuhkan untuk konektor data khusus Anda, dan mengarahkan Anda ke instruksi untuk setiap skenario.
Prasyarat
Sebelum Anda mulai mengonfigurasi DCR untuk transformasi data:
Pelajari transformasi data dan DCR lebih lanjut di Azure Monitor dan Microsoft Sentinel. Untuk informasi selengkapnya, lihat:
Verifikasi dukungan konektor data. Pastikan konektor data Anda didukung untuk transformasi data.
Dalam artikel referensi konektor data kami, periksa bagian untuk konektor data Anda untuk memahami jenis DDR mana yang didukung. Lanjutkan di artikel ini untuk memahami bagaimana jenis DCR yang Anda pilih memengaruhi proses penyerapan dan transformasi lainnya.
Menentukan kebutuhan Anda
| Jika Anda mengonsumsi | Transformasi waktu konsumsi adalah ... | Gunakan jenis DCR ini |
|---|---|---|
| Data kustom melalui API Penyerapan Log |
DCR standar | |
| Jenis data bawaan (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) menggunakan Agen Azure Monitor |
DCR standar | |
| Jenis data bawaan Dari sebagian besar sumber lain |
DCR transformasi ruang kerja |
Mengonfigurasi transformasi data Anda
Gunakan prosedur berikut dari dokumentasi Log Analytics dan Azure Monitor untuk mengonfigurasi DDR transformasi data Anda:
Penyerapan langsung melalui API Penyerapan Log:
- Ikuti tutorial untuk menyerap log menggunakan portal Azure.
- Ikuti tutorial untuk menyerap log menggunakan template Azure Resource Manager (ARM) dan REST API.
- Ikuti tutorial untuk mengonfigurasi transformasi ruang kerja menggunakan portal Azure.
- Ikuti tutorial untuk mengonfigurasi transformasi ruang kerja menggunakan templat Azure Resource Manager (ARM) dan REST API.-
Selengkapnya tentang aturan pengumpulan data:
- Struktur aturan pengumpulan data di Azure Monitor (pratinjau)
- Transformasi pengumpulan data di Azure Monitor (pratinjau)
Setelah selesai, kembali ke Microsoft Azure Sentinel untuk memverifikasi bahwa data Anda sedang diserap berdasarkan transformasi yang baru dikonfigurasi. Mungkin perlu waktu hingga 60 menit agar konfigurasi transformasi data diterapkan.
Bermigrasi ke transformasi data waktu konsumsi
Jika saat ini Anda memiliki konektor data Microsoft Sentinel kustom, atau konektor data berbasis API bawaan, Anda mungkin ingin bermigrasi menggunakan transformasi data waktu penyerapan.
Pilih salah satu metode berikut:
Konfigurasikan DCR untuk menentukan, dari awal, penyerapan kustom dari sumber data Anda ke tabel baru. Anda dapat menggunakan opsi ini jika ingin menggunakan skema baru yang tidak memiliki akhiran kolom saat ini, dan tidak memerlukan fungsi KQL waktu kueri untuk menstandardisasi data Anda.
Setelah memverifikasi bahwa data Anda dicerna dengan benar ke tabel baru, Anda dapat menghapus tabel lama, serta konektor data kustom lama Anda.
Lanjutkan menggunakan tabel kustom yang dibuat oleh konektor data kustom Anda. Anda dapat menggunakan opsi ini jika Anda memiliki banyak konten keamanan khusus yang dibuat untuk tabel yang ada. Dalam kasus seperti itu, lihat Bermigrasi dari API Pengumpul Data dan tabel yang diaktifkan bidang kustom ke log kustom berbasis DCR dalam dokumentasi Azure Monitor.
Langkah berikutnya
Untuk informasi selengkapnya tentang transformasi data dan DCR, lihat:
- Penyerapan dan transformasi data kustom di Microsoft Sentinel (pratinjau)
- Transformasi pengumpulan data di Log Azure Monitor (pratinjau)
- API penyerapan log di Log Azure Monitor (Pratinjau)
- Struktur aturan pengumpulan data di Azure Monitor (pratinjau)
- Mengonfigurasi pengumpulan data untuk Agen Azure Monitor