Adatok átalakítása vagy testreszabása betöltési időpontban a Microsoft Sentinelben (előzetes verzió)

Ez a cikk bemutatja, hogyan konfigurálhatja a betöltési idő szerinti adatátalakítást és az egyéni naplóbetöltést a Microsoft Sentinelben való használatra.

A betöltési idő adatátalakítása nagyobb ellenőrzést biztosít az ügyfelek számára a betöltött adatok felett. A szabványos táblákat létrehozó előre konfigurált, kemény kódolású munkafolyamatok kiegészítéseként a betöltési idő átalakításával még a lekérdezések futtatása előtt is szűrheti és bővítheti a kimeneti táblákat. Az egyéni naplóbetöltés az Egyéni napló API használatával normalizálja az egyéni formátumú naplókat, hogy bizonyos szabványos táblákba lehessen őket betöltésre, vagy másik lehetőségként testre szabott kimeneti táblákat hozhat létre felhasználó által definiált sémákkal ezen egyéni naplók betöltéséhez.

Ez a két mechanizmus az adatgyűjtési szabályok (DCR-ek) használatával van konfigurálva, akár a Log Analytics portálon, akár API- vagy ARM-sablonon keresztül. Ez a cikk segítséget nyújt az adott adatösszekötőhöz szükséges DCR kiválasztásában, és az egyes forgatókönyvek utasításaihoz irányítja.

Előfeltételek

Mielőtt elkezdené konfigurálni a DCR-eket az adatátalakításhoz:

• További információ az azure monitor és a Microsoft Sentinel adatátalakításáról és DCR-eiről. További információkért lásd:

  • Adatgyűjtési szabályok az Azure Monitorban
  • Naplóbetöltési API az Azure Monitor-naplókban (előzetes verzió)
  • Átalakítások az Azure Monitor-naplókban (előzetes verzió)
  • Adatátalakítás a Microsoft Sentinelben (előzetes verzió)

• Ellenőrizze az adatösszekötő támogatását. Győződjön meg arról, hogy az adatösszekötők támogatottak az adatátalakításhoz.

  Az adatösszekötők referenciacikkében tekintse meg az adatösszekötő szakaszát, amelyből megtudhatja, hogy mely dcR-típusok támogatottak. Ebből a cikkből megtudhatja, hogy a kiválasztott DCR-típus hogyan befolyásolja a betöltési és átalakítási folyamat többi részét.

A követelmények meghatározása

Ha betölti	A betöltési idő átalakítás...	Használja ezt a DCR-típust
Egyéni adatok a a Log Ingestion API	Kötelező Az adatmodellt meghatározó DCR része	Standard DCR
Beépített adattípusok (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) az örökölt Log Analytics-ügynök (MMA) használatával	Választható Szükség esetén hozzáadva a munkaterülethez csatolt DCR-hez, ahol az adatok betöltése folyamatban van	Munkaterület-átalakítás – DCR
Beépített adattípusok a legtöbb más forrásból	Választható Szükség esetén hozzáadva a munkaterülethez csatolt DCR-hez, ahol az adatok betöltése folyamatban van	Munkaterület-átalakítás – DCR

Az adatátalakítás konfigurálása

A Log Analytics és az Azure Monitor dokumentációjának alábbi eljárásaival konfigurálhatja az adatátalakítás tartományvezérlőit:

Közvetlen betöltés a Log Ingestion API-val:

• Útmutató a naplók Azure Portalon való betöltéséhez.
• Útmutató a naplók Azure Resource Manager-sablonokkal és REST API-val való betöltéséhez.

Munkaterület-átalakítások:

• Útmutató a munkaterület-átalakítás Azure Portalon való konfigurálásához.
• Útmutató a munkaterület-átalakítás Azure Resource Manager-sablonok és REST API használatával történő konfigurálásához.

További információ az adatgyűjtési szabályokról:

• Adatgyűjtési szabály felépítése az Azure Monitorban (előzetes verzió)
• Adatgyűjtési átalakítások az Azure Monitorban (előzetes verzió)

Ha végzett, térjen vissza a Microsoft Sentinelhez, és ellenőrizze, hogy az adatok betöltése az újonnan konfigurált átalakítás alapján történik-e. Az adatátalakítási konfigurációk alkalmazása akár 60 percet is igénybe vehet.

Migrálás betöltési idejű adatátalakításra

Ha jelenleg egyéni Microsoft Sentinel-adatösszekötőkkel vagy beépített API-alapú adatösszekötőkkel rendelkezik, érdemes lehet áttelepíteni a betöltési idejű adatátalakításra.

Kövesse az alábbi módszerek egyikét:

• Konfiguráljon egy DCR-t az adatforrásból egy új táblába való egyéni betöltés definiálásához. Ezt a lehetőséget akkor használhatja, ha olyan új sémát szeretne használni, amely nem rendelkezik az aktuális oszlop utótagokkal, és nem igényel lekérdezési idejű KQL-függvényeket az adatok szabványosításához.

  Miután ellenőrizte, hogy az adatok megfelelően kerülnek-e az új táblába, törölheti az örökölt táblát, valamint az örökölt egyéni adatösszekötőt.

• Folytassa az egyéni adatösszekötő által létrehozott egyéni táblázat használatát. Ezt a lehetőséget akkor használhatja, ha sok egyéni biztonsági tartalmat hozott létre a meglévő táblához. Ilyen esetekben lásd : Migrálás a Data Collector API-ból és az egyéni mezőkkel kompatibilis táblákból a DCR-alapú egyéni naplókba az Azure Monitor dokumentációjában.

Következő lépések

Az adatátalakítással és a DCR-kkel kapcsolatos további információkért lásd:

• Egyéni adatbetöltés és -átalakítás a Microsoft Sentinelben (előzetes verzió)
• Adatgyűjtési átalakítások az Azure Monitor-naplókban (előzetes verzió)
• Naplóbetöltési API az Azure Monitor-naplókban (előzetes verzió)
• Adatgyűjtési szabály felépítése az Azure Monitorban (előzetes verzió)
• Adatgyűjtés konfigurálása az Azure Monitor-ügynökhöz