استيعاب البيانات التاريخية في النظام الأساسي الهدف

في المقالات السابقة، حددت نظامًا أساسياً مستهدفاً للبيانات التاريخية الخاصة بك. كما حُددت أداة لنقل البيانات الخاصة بك وتخزين البيانات التاريخية في موقع مرحلي. يمكنك الآن البدء في استيعاب البيانات في النظام الأساسي المستهدف.

توضح هذه المقالة كيفية إدخال البيانات التاريخية الخاصة بك في النظام الأساسي المستهدف المحدد.

تصدير البيانات باستخدام SIEM القديم

بشكل عام، يمكن لـ SIEM تصدير البيانات أو تفريغها إلى ملف في نظام الملفات المحلي لديك، بحيث يمكنك استخدام هذه الطريقة لاستخراج البيانات التاريخية. من المهم أيضًا إعداد موقع مرحلي للملفات المصدرة الخاصة بك. يمكن للأداة التي تُستخدم لنقل استيعاب البيانات نسخ الملفات من موقع التدريج إلى النظام الأساسي الهدف.

يوضح هذا الرسم البياني عملية التصدير والاستيعاب عالية المستوى.

رسم تخطيطي يوضح الخطوات المتبعة في التصدير والاستيعاب.

لتصدير البيانات من SIEM الحالي الخاص بك، راجع أحد الأقسام التالية:

الاستيعاب الخاص بـ Azure Data Explorer

لاستيعاب بياناتك التاريخية في Azure Data Explorer (ADX) (الخيار 1 في الرسم البياني الوارد أعلاه):

  1. قم بتثبيت وتكوين LightIngest على النظام حيث يتم تصدير السجلات، أو تثبيت LightIngest على نظام آخر لديه حق الوصول إلى السجلات المُصدَرة. LightIngest يدعم Windows فقط.
  2. إذا لم يكن لديك مجموعة ADX موجودة، فأنشئ مجموعة جديدة وانسخ سلسلة الاتصال. تعرف على كيفية إعداد ADX.
  3. في ADX، قم بإنشاء جداول وتحديد مخطط لتنسيق CSV أو JSON (لـ QRadar). تعرف على كيفية إنشاء جدول وتحديد مخطط مع عينة بيانات أو بدون عينة بيانات.
  4. قم بتشغيل LightIngest مع مسار المجلد الذي يَتضمن السجلات المصدرة كـمسار، وسلسلة اتصال ADX كإخراج. عند تشغيل LightIngest، تأكد من توفير اسم جدول ADX الهدف، وتعيين نمط الوسيطة إلى *.csv، وتعيين التنسيق إلى .csv (أو json لـ QRadar).

استيعاب البيانات إلى سجلات Microsoft Azure Sentinel الأساسية

لاستيعاب البيانات التاريخية الخاصة بك في سجلات Microsoft Azure Sentinel الأساسية (الخيار 2 في الرسم البياني الوارد أعلاه):

  1. إذا لم يكن لديك مساحة عمل Log Analytics موجودة، قم بإنشاء مساحة عمل جديدة وتثبيت Microsoft Azure Sentinel.

  2. أنشئ تسجيلًا للتطبيق للمصادقة مقابل API.

  3. إنشاء جدول سجل مخصص من أجل تخزين البيانات، وتوفير عينة بيانات. في هذه الخطوة، يمكنك أيضًا تحديد التحويل قبل استيعاب البيانات.

  4. جمع المعلومات من قاعدة جمع البيانات وتعيين أذونات للقاعدة.

  5. تغيير الجدول من Analytics إلى Basic Logs.

  6. قم بتشغيل البرنامج النصي Custom Log Ingestion. يَطلب البرنامج النصي التفاصيل التالية:

    • المسار إلى ملفات السجل المراد استيعابها
    • معرف مستأجر Microsoft Entra
    • مُعرّف التطبيق
    • سر التطبيق
    • نقطة نهاية DCE (استخدم عنوان URI لنقطة نهاية استيعاب السجلات ل DCR)
    • معرف DCR غير قابل للتغيير
    • اسم دفق البيانات فيما يتعلق بـ DCR

    يعمل البرنامج النصي على إرجاع عدد الأحداث التي تم إرسالها إلى مساحة العمل.

استيعاب تخزين Azure Blob

لاستيعاب البيانات التاريخية الخاصة بك في سجلات Microsoft Azure Sentinel الأساسية (الخيار 3 في الرسم البياني الوارد أعلاه):

  1. قم بتثبيت وتكوين AzCopy على النظام الذي قمت بتصدير السجلات إليه. بدلاً من ذلك، قم بتثبيت AzCopy على نظام آخر لديه حق الوصول إلى السجلات المُصدرة.
  2. قم بإنشاء حساب Azure Blob Storage وانسخ بيانات اعتماد معرف Microsoft Entra المعتمدة أو الرمز المميز لتوقيع الوصول المشترك.
  3. قم بتشغيل AzCopy مع مسار المجلد الذي يتضمن السجلات المصدرة كمسار، وسلسلة اتصال ADX كإخراج.

الخطوات التالية

في هذه المقالة، تعلمت كيفية إدخال البيانات الخاصة بك في النظام الأساسي المستهدف.