Share via

Mengubah atau menyesuaikan data pada waktu penyerapan di Microsoft Sentinel (pratinjau)

  • Artikel

Artikel ini menjelaskan cara mengonfigurasi transformasi data waktu konsumsi dan penyerapan log kustom untuk digunakan di Microsoft Sentinel.

Transformasi data waktu konsumsi memberi pelanggan lebih banyak kontrol atas data yang tertelan. Melengkapi alur kerja yang telah dikonfigurasi sebelumnya dan dikodekan secara permanen yang membuat tabel standar, transformasi waktu penyerapan menambahkan kemampuan untuk memfilter dan memperkaya tabel output, bahkan sebelum menjalankan kueri apa pun. Penyerapan log kustom menggunakan API Log Kustom untuk menormalkan log format kustom sehingga dapat dicerna ke dalam tabel standar tertentu, atau sebagai alternatif, untuk membuat tabel output yang disesuaikan dengan skema yang ditentukan pengguna untuk menelan log kustom ini.

Kedua mekanisme ini dikonfigurasi menggunakan Aturan Pengumpulan Data (DDR), baik di portal Analitik Log, atau melalui templat API atau ARM. Artikel ini akan membantu Anda memilih jenis DCR yang Anda butuhkan untuk konektor data khusus Anda, dan mengarahkan Anda ke instruksi untuk setiap skenario.

Prasyarat

Sebelum Anda mulai mengonfigurasi DCR untuk transformasi data:

Menentukan kebutuhan Anda

Jika Anda mengonsumsi Transformasi waktu konsumsi adalah ... Gunakan jenis DCR ini
Data kustom melalui
API Penyerapan Log
  • Diperlukan
  • Termasuk dalam DCR yang mendefinisikan model data
    		•  DCR standar
    Jenis data bawaan
    (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent)
    menggunakan Agen Analisis Log (MMA) lama
  • Opsional
  • Jika diinginkan, ditambahkan ke DCR yang dilampirkan ke Ruang Kerja tempat data ini sedang dicerna
    		•  DCR transformasi ruang kerja
    Jenis data bawaan
    Dari sebagian besar sumber lain
  • Opsional
  • Jika diinginkan, ditambahkan ke DCR yang dilampirkan ke Ruang Kerja tempat data ini sedang dicerna
    		•  DCR transformasi ruang kerja

    Mengonfigurasi transformasi data Anda

    Gunakan prosedur berikut dari dokumentasi Log Analytics dan Azure Monitor untuk mengonfigurasi DDR transformasi data Anda:

    Penyerapan langsung melalui API Penyerapan Log:

    Transformasi ruang kerja:

    Selengkapnya tentang aturan pengumpulan data:

    Setelah selesai, kembali ke Microsoft Azure Sentinel untuk memverifikasi bahwa data Anda sedang diserap berdasarkan transformasi yang baru dikonfigurasi. Mungkin perlu waktu hingga 60 menit agar konfigurasi transformasi data diterapkan.

    Bermigrasi ke transformasi data waktu konsumsi

    Jika saat ini Anda memiliki konektor data Microsoft Sentinel kustom, atau konektor data berbasis API bawaan, Anda mungkin ingin bermigrasi menggunakan transformasi data waktu penyerapan.

    Pilih salah satu metode berikut:

    • Konfigurasikan DCR untuk menentukan, dari awal, penyerapan kustom dari sumber data Anda ke tabel baru. Anda dapat menggunakan opsi ini jika ingin menggunakan skema baru yang tidak memiliki akhiran kolom saat ini, dan tidak memerlukan fungsi KQL waktu kueri untuk menstandardisasi data Anda.

      Setelah memverifikasi bahwa data Anda dicerna dengan benar ke tabel baru, Anda dapat menghapus tabel lama, serta konektor data kustom lama Anda.

    • Lanjutkan menggunakan tabel kustom yang dibuat oleh konektor data kustom Anda. Anda dapat menggunakan opsi ini jika Anda memiliki banyak konten keamanan khusus yang dibuat untuk tabel yang ada. Dalam kasus seperti itu, lihat Bermigrasi dari API Pengumpul Data dan tabel yang diaktifkan bidang kustom ke log kustom berbasis DCR dalam dokumentasi Azure Monitor.

    Langkah berikutnya

    Untuk informasi selengkapnya tentang transformasi data dan DCR, lihat: