Vlastní příjem a transformace dat v Microsoft Sentinelu

Protokoly služby Azure Monitor slouží jako datová platforma pro Microsoft Sentinel. Všechny protokoly ingestované do služby Microsoft Sentinel se ukládají v pracovním prostoru služby Log Analytics a dotazy na protokoly napsané v jazyce Kusto Query Language (KQL) slouží k detekci hrozeb a monitorování vaší síťové aktivity.

Log Analytics poskytuje vysokou úroveň kontroly nad daty, která se ingestují do vašeho pracovního prostoru pomocí vlastních pravidel příjmu dat a shromažďování dat (DCR). DCR vám umožní shromažďovat a manipulovat s vašimi daty před jejich uložením v pracovním prostoru. DCR formátují a odesílají data jak do standardních tabulek Log Analytics, tak do přizpůsobitelných tabulek pro zdroje dat, které vytvářejí jedinečné formáty protokolů.

Transformace filtrování a rozdělení je možné použít u dat v době příjmu dat, aby se snížil šum a směrovat data do příslušné úrovně úložiště. Tyto transformace nevyžadují, abyste vytvořili řadič domény a jsou definované na stránce správy tabulek služby Microsoft Sentinel na portálu Defender. Další informace najdete v tématu Filtrování a rozdělení transformací v Microsoft Sentinelu.

Nástroje služby Azure Monitor pro příjem vlastních dat v Microsoft Sentinelu

Microsoft Sentinel používá k řízení vlastního příjmu dat následující nástroje služby Azure Monitor:

• Transformace se definují v DCR a na příchozí data použijí dotazy KQL, než se uloží do pracovního prostoru. Tyto transformace můžou odfiltrovat irelevantní data, rozšířit stávající data pomocí analýz nebo externích dat nebo maskovat citlivé nebo osobní údaje.

• Rozhraní API pro příjem protokolů umožňuje odesílat protokoly vlastního formátu z libovolného zdroje dat do pracovního prostoru služby Log Analytics a ukládat tyto protokoly buď v určitých standardních tabulkách, nebo ve vlastních formátovaných tabulkách, které vytvoříte. Máte plnou kontrolu nad vytvářením těchto vlastních tabulek a zadáním názvů a typů sloupců. Rozhraní API používá DCRs k definování, konfiguraci a aplikování transformací na tyto toky dat.

Poznámka:

Na pracovní prostory Log Analytics povolené pro Microsoft Sentinel se neúčtují poplatky za zpracování filtrování ve službě Azure Monitor bez ohledu na množství dat, které filtr transformace zpracovává. Transformace v Microsoft Sentinelu ale jinak mají stejná omezení jako Azure Monitor. Další informace najdete v tématu Omezení a důležité informace.

Podpora DCR v Microsoft Sentinelu

Transformace doby příjmu dat jsou definovány v pravidlech shromažďování dat (DCR), která řídí tok dat ve službě Azure Monitor. Definice pravidel shromažďování dat (DCRs) využívají konektory a pracovní postupy služby Sentinel založené na agentu AMA pomocí rozhraní API pro příjem protokolů. Každý řadič domény obsahuje konfiguraci pro konkrétní scénář shromažďování dat a několik konektorů nebo zdrojů může sdílet jeden řadič domény.

Transformace pracovních prostorů DCR podporují pracovní postupy, které jinak nepoužívají DCR. Transformace pracovního prostoru DCRs obsahují transformace pro všechny podporované tabulky a použijí se na veškerý provoz odesílaný do těchto tabulek.

Další informace naleznete v tématu:

• Transformace shromažďování dat ve službě Azure Monitor
• Rozhraní API pro sběr dat v logech služby Azure Monitor
• Pravidla shromažďování dat ve službě Azure Monitor

Případy použití a ukázkové scénáře

Ukázkové transformace ve službě Azure Monitor poskytují popis a ukázkové dotazy pro běžné scénáře s využitím transformací doby příjmu dat ve službě Azure Monitor. Mezi scénáře, které jsou zvlášť užitečné pro Microsoft Sentinel, patří:

• Snížení nákladů na data Filtrování shromažďování dat podle řádků nebo sloupců za účelem snížení nákladů na příjem dat a úložiště

• Normalizovat data. Normalizuje protokoly pomocí modelu ASIM (Advanced Security Information Model) za účelem zlepšení výkonu normalizovaných dotazů. Pro další informace viz Normalizace při zpracování.

• Obohacení dat Transformace v době příjmu dat umožňují vylepšit analýzu obohacením dat o další sloupce přidané do nakonfigurované transformace KQL. Další sloupce můžou zahrnovat analyzovaná nebo počítaná data z existujících sloupců.

• Odeberte citlivá data. Transformace doby příjmu dat se dají použít k maskování nebo odebrání osobních údajů, jako je maskování všech kromě posledních číslic čísla sociálního pojištění nebo čísla platební karty.

Tok příjmu dat v Microsoft Sentinelu

Následující obrázek ukazuje, kde transformace dat v době příjmu dat vstupuje do toku příjmu dat v Microsoft Sentinelu. Tato data mohou být podporována standardními tabulkami nebo v konkrétní sadě vlastních tabulek.

Tento obrázek znázorňuje cloudový kanál, který představuje komponentu shromažďování dat služby Azure Monitor. Další informace o tom najdete společně s dalšími scénáři shromažďování dat v pravidlech shromažďování dat (DCR) ve službě Azure Monitor.

Microsoft Sentinel shromažďuje data v pracovním prostoru služby Log Analytics z více zdrojů.

• Data shromážděná z API koncového bodu pro příjem dat protokolů nebo agenta Azure Monitor (AMA) zpracovává specifické DCR, které může zahrnovat transformaci při příjmu dat.
• Data z integrovaných datových konektorů jsou zpracována v Log Analytics pomocí kombinace pevně zakódovaných pracovních postupů a transformací při příjmu dat v pracovním prostoru DCR.

Následující tabulka popisuje podporu DCR pro typy datových konektorů Microsoft Sentinelu:

Typ datového konektoru	Podpora DCR
Protokoly agenta Azure Monitoru (AMA), například: Události zabezpečení Windows prostřednictvím AMA Události přeposlané systémem Windows Data CEF Data Syslogu	Jeden nebo více DCR přidružených k agentovi
Prostřednictvím API pro ingestování logů	DCR zadané při volání rozhraní API
Integrovaný datový konektor založený na rozhraní API, například: Datové konektory bez kódu	DCR vytvořené pro konektor
Připojení založená na nastavení diagnostiky	DCR transformace pracovního prostoru s podporovanými výstupními tabulkami
Integrované datové konektory založené na rozhraní API, například: Zastaralé datové konektory nevyžadující kódování Datové konektory založené na Azure Functions	V současnosti není podporováno
Integrované datové konektory mezi službami, například: systém Microsoft Office 365 Microsoft Entra ID Amazon S3	Transformace pracovního prostoru DCR pro tabulky, které podporují transformace

Související obsah

Další informace naleznete v tématu:

• Transformace nebo přizpůsobení dat v době příjmu dat v Microsoft Sentinelu (Preview)
• Filtrování a rozdělení transformací v Microsoft Sentinelu
• Datové konektory Microsoft Sentinelu
• Vyhledání datového konektoru služby Microsoft Sentinel