Преобразование или настройка данных во время приема данных в Microsoft Sentinel (предварительная версия)

  • Статья

В этой статье описывается, как настроить преобразование данных во время приема данных и приема данных из пользовательского журнала для использования в Microsoft Sentinel.

Преобразование данных во время приема обеспечивает клиентам лучший контроль над вводимыми данными. В дополнение к предварительно настроенным, жестко закодированным рабочим процессам, создающим стандартизированные таблицы, преобразование данных во время приема дает возможность фильтрации и обогащения выходных таблиц даже до выполнения каких-либо запросов. Прием данных из пользовательских журналов применяет пользовательский API журнала для нормализации журналов пользовательских форматов, чтобы их можно было принимать в определенные стандартные таблицы или создавать настраиваемые выходные таблицы с пользовательскими схемами для приема этих пользовательских журналов.

Эти два механизма настраиваются с помощью правил сбора данных (DCR) либо на портале Log Analytics, либо с помощью шаблона API или ARM. Эта статья поможет вам выбрать тип DCR, необходимый для конкретного соединителя данных, и направить вас к инструкциям для каждого сценария.

Необходимые компоненты

Перед началом настройки DCR для преобразования данных выполните указанные ниже действия.

Определение требований

При приеме данных Преобразования во время приема данных —... Использовать этот тип DCR
Пользовательские данные с помощью
API приема журналов
  • Обязательное поле
  • Включение в DCR, определяющий модель данных
    		•  DCR категории “Стандартный”
    Встроенные типы данных
    (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent)
    использование агента Azure Monitor
  • Необязательно
  • При необходимости добавьте в DCR, который настраивает прием этих данных.
    		•  DCR категории “Стандартный”
    Встроенные типы данных
    Из большинства других источников
  • Необязательно
  • При желании добавляется в DCR, подключенный к рабочей области, в которую поступают эти данные.
    		•  DCR преобразования рабочей области

    Настройка преобразования данных

    Используйте приведенные ниже процедуры из документации Log Analytics и Azure Monitor для настройки DCR преобразования данных.

    Прямое прием через API приема журналов:

    Преобразования рабочей области:

    Дополнительные сведения о правилах сбора данных:

    Когда вы закончите, вернитесь в Microsoft Sentinel, чтобы убедиться, что данные принимаются на основе только что настроенного преобразования. Для применения конфигураций преобразования данных может потребоваться до 60 минут.

    Переход на преобразование данных во время приема данных

    Если в настоящее время у вас есть пользовательские соединители данных Microsoft Sentinel или встроенные соединители данных на основе API, то, возможно, потребуется перейти на использование преобразования данных во время приема.

    Используйте один из следующих методов:

    • Настройте DCR для определения с нуля пользовательского приема данных из источника данных в новую таблицу. Этот параметр можно использовать, если вы хотите применять новую схему, которая не имеет текущих суффиксов столбцов и не требует функций KQL времени выполнения запроса для стандартизации данных.

      После того как вы убедитесь, что ваши данные правильно перенесены в новую таблицу, можно удалить прежнюю таблицу, а также прежний пользовательский соединитель данных.

    • Продолжайте применять настраиваемую таблицу, созданную пользовательским соединителем данных. Этот параметр можно применять, если для существующей таблицы создано большое количество пользовательских данных безопасности. В таких случаях см. статью Миграция из API сборщика данных и таблиц с поддержкой пользовательских полей в пользовательские журналы на основе DCR в документации по Azure Monitor.

    Следующие шаги

    Дополнительные сведения о преобразовании данных и DCR см. в статьях: