Ingerir dados históricos em sua plataforma de destino

Em artigos anteriores, você selecionou uma plataforma de destino para seus dados históricos. Você também selecionou uma ferramenta para transferir seus dados e armazenou os dados históricos em um local de preparo. Agora você pode começar a ingerir os dados na plataforma de destino.

Este artigo descreve como ingerir seus dados históricos na plataforma de destino que você selecionou.

Exportar dados do SIEM herdado

Em geral, os SIEMs podem exportar ou despejar dados para um arquivo em seu sistema de arquivos local, para que você possa usar esse método para extrair os dados históricos. Também é importante configurar um local de preparo para seus arquivos exportados. A ferramenta usada para transferir a ingestão de dados pode copiar os arquivos do local de preparo para a plataforma de destino.

Este diagrama mostra o processo de exportação e ingestão de alto nível.

Para exportar dados do SIEM atual, consulte uma das seguintes seções:

• Exportar dados do ArcSight
• Exportar dados do Splunk
• Exportar dados do QRadar

Ingerir dados no Azure Data Explorer

Para ingerir seus dados históricos no Azure Data Explorer (ADX) (opção 1 no diagrama acima):

1. Instale e configure o LightIngest no sistema em que os logs são exportados ou instale o LightIngest em outro sistema que tenha acesso aos logs exportados. O LightIngest suporta apenas o Windows.
2. Se você não tiver um cluster ADX existente, crie um novo cluster e copie a cadeia de conexão. Aprenda a configurar o ADX.
3. No ADX, crie tabelas e defina um esquema para o formato CSV ou JSON (para QRadar). Saiba como criar uma tabela e definir um esquema com dados de exemplo ou sem dados de exemplo.
4. Execute o LightIngest com o caminho da pasta que inclui os logs exportados como o caminho e a cadeia de conexão do ADX como a saída. Ao executar o LightIngest, certifique-se de fornecer o nome da tabela ADX de destino, se o padrão de argumento está definido como*.csv, e se o formato está definido como .csv (ou json para QRadar).

Ingerir dados nos logs básicos do Microsoft Sentinel

Para ingerir seus dados históricos nos Logs Básicos do Microsoft Sentinel (opção 2 no diagrama acima):

1. Se você não tiver um workspace do Log Analytics existente, crie um novo workspace e instale o Microsoft Sentinel.

2. Crie um registro de aplicativo para autenticar na API.

3. Crie uma tabela de log personalizada para armazenar os dados e fornecer um exemplo de dados. Nesta etapa, você também pode definir uma transformação antes que os dados sejam ingeridos.

4. Colete informações da regra de coleta de dados e atribua permissões à regra.

5. Altere a tabela do Analytics para logs básicos.

6. Execute o script de Ingestão de Log Personalizado. O script solicita as três entradas a seguir:

   • Caminho para os arquivos de log a serem ingeridos
   • ID de locatário do Entra ID da Microsoft
   • ID do aplicativo
   • Segredo do aplicativo
   • Ponto de extremidade DCE (use o URI do ponto de extremidade de ingestão de logs para o DCR)
   • ID imutável do DCR
   • Nome do fluxo de dados do DCR

   O script retorna o número de eventos que foram enviados para o workspace.

Ingerir no Armazenamento de Blobs do Azure

Para ingerir seus dados históricos no Armazenamento de Blobs do Azure (opção 3 no diagrama acima):

1. Instale e configure o AzCopy no sistema para o qual você exportou os logs. Como alternativa, instale o AzCopy em outro sistema que tenha acesso aos logs exportados.
2. Crie uma conta Armazenamento de Blobs do Azure e copie as credenciais Microsoft Entra ID autorizadas ou o token de Assinatura de Acesso Compartilhado.
3. Execute o AzCopy com o caminho da pasta que inclui os logs exportados como a origem e a cadeia de conexão do Armazenamento de Blobs do Azure como saída.

Próximas etapas

Neste artigo, você aprendeu a ingerir seus dados na plataforma de destino.