Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Azure Monitor Logs fungerer som dataplatform for Microsoft Sentinel. Alle logfiler, der indtages i Microsoft Sentinel, gemmes i et Log Analytics-arbejdsområde, og logforespørgsler, der er skrevet i KQL (Kusto Query Language), bruges til at registrere trusler og overvåge din netværksaktivitet.
Log Analytics giver dig et højt niveau af kontrol over de data, der overføres til dit arbejdsområde med brugerdefinerede regler for dataindtagelse og dataindsamling. Med DCR'er kan du både indsamle og manipulere dine data, før de gemmes i dit arbejdsområde. DCR'er formaterer og sender både data til både loganalysetabeller og tabeller, der kan tilpasses, for datakilder, der producerer entydige logformater.
Filter- og opdelte transformationer kan anvendes på data på indtagelsestidspunktet for at reducere støj og dirigere data til det relevante lagerniveau. Disse transformationer kræver ikke, at du opretter en DCR og er defineret på Microsoft Sentinel tabeladministrationsside på Defender-portalen. Du kan få flere oplysninger under Filtrer og opdel transformationer i Microsoft Sentinel.
Azure Overvåg værktøjer til brugerdefineret dataindtagelse i Microsoft Sentinel
Microsoft Sentinel bruger følgende Azure overvåg værktøjer til at styre brugerdefineret dataindtagelse:
Transformationer defineres i DCR'er og anvender KQL-forespørgsler på indgående data, før de gemmes i dit arbejdsområde. Disse transformationer kan filtrere irrelevante data fra, forbedre eksisterende data med analyser eller eksterne data eller maskere følsomme eller personlige oplysninger.
Med Log-indtagelses-API'en kan du sende logfiler i brugerdefineret format fra en hvilken som helst datakilde til dit Log Analytics-arbejdsområde og gemme disse logge enten i bestemte standardtabeller eller i brugerdefinerede tabeller, som du opretter. Du har fuld kontrol over oprettelsen af disse brugerdefinerede tabeller til angivelse af kolonnenavne og -typer. API'en bruger DCR'er til at definere, konfigurere og anvende transformationer på disse dataflow.
Bemærk!
Log Analytics-arbejdsområder, der er aktiveret for Microsoft Sentinel, er ikke underlagt Azure Monitors gebyr for filtrering af indtagelse, uanset hvor mange data transformationsfiltrene er. Transformationer i Microsoft Sentinel ellers have de samme begrænsninger som Azure Monitor. Du kan få flere oplysninger under Begrænsninger og overvejelser.
DCR-understøttelse i Microsoft Sentinel
Transformationer af indtagelsestid er defineret i dcr-regler (data collection rules), som styrer dataflowet i Azure Monitor. DCR'er bruges af AMA-baserede Sentinel connectors og arbejdsprocesser ved hjælp af API'en Logs ingestion. Hver DCR indeholder konfigurationen for et bestemt dataindsamlingsscenarie, og flere connectorer eller kilder kan dele en enkelt DCR.
Dcr-arbejdsprocesser til transformation af arbejdsområder understøtter arbejdsprocesser, der ikke på anden måde bruger DCR'er. Dcr-transformations-DCR'er for arbejdsområder indeholder transformationer for alle understøttede tabeller og anvendes på al trafik, der sendes til den pågældende tabel.
Du kan finde flere oplysninger under:
- Transformationer af dataindsamling i Azure Monitor
- Logførings-API i Azure overvågningslogge
- Regler for dataindsamling i overvågning af Azure
Use cases og eksempelscenarier
Artiklen Eksempeltransformationer i Azure Monitor indeholder beskrivelses- og eksempelforespørgsler til almindelige scenarier ved hjælp af transformationer af indtagelsestid i Azure Monitor. Scenarier, der er særligt nyttige i forbindelse med Microsoft Sentinel, omfatter:
Reducer dataomkostninger. Filtrer dataindsamling efter enten rækker eller kolonner for at reducere omkostningerne til indtagelse og lagring.
Normaliser data. Normaliser logge med ASIM (Advanced Security Information Model) for at forbedre ydeevnen af normaliserede forespørgsler. Du kan få flere oplysninger under Normalisering af indfødningstid.
Gør dataene bedre. Transformationer af indtagelsestid giver dig mulighed for at forbedre analyser ved at forbedre dine data med ekstra kolonner, der føjes til den konfigurerede KQL-transformation. Ekstra kolonner kan indeholde fortolkede eller beregnede data fra eksisterende kolonner.
Fjern følsomme data. Transformationer af indtagelsestid kan bruges til at maskere eller fjerne personlige oplysninger, f.eks. maskering af alle undtagen de sidste cifre i et CPR-nummer eller kreditkortnummer.
Dataindtagelsesflow i Microsoft Sentinel
På følgende billede kan du se, hvor datatransformation for indtagelsestid indtaster dataindtagelsesflowet i Microsoft Sentinel. Disse data kan understøttes som standardtabeller eller i et bestemt sæt brugerdefinerede tabeller.
Dette billede viser cloudpipelinen, som repræsenterer komponenten til indsamling af data i Azure Monitor. Du kan få mere at vide om det sammen med andre scenarier for dataindsamling i DCR'er (Data collection rules) i Azure Monitor.
Microsoft Sentinel indsamler data i Log Analytics-arbejdsområdet fra flere kilder.
- Data, der indsamles fra LOGFIL'ens API-slutpunkt eller Azure monitoragent (AMA), behandles af en bestemt DCR, der kan omfatte en transformation af indtagelsestid.
- Data fra indbyggede dataconnectors behandles i Log Analytics ved hjælp af en kombination af hardcodede arbejdsprocesser og transformationer af indtagelsestid i arbejdsområdets DCR.
I følgende tabel beskrives dcr-understøttelse af Microsoft Sentinel dataconnectortyper:
| Dataconnectortype | DCR-understøttelse |
|---|---|
|
Azure AMA-logfiler (Monitor Agent), f.eks.: |
En eller flere DCR'er, der er knyttet til agenten |
| Direkte indtagelse via Logførings-API | DCR angivet i API-kald |
|
Indbygget API-baseret dataconnector, f.eks.: |
DCR oprettet for connector |
| Diagnosticeringsindstillingersbaserede forbindelser | DCR for transformation af arbejdsområde med understøttede outputtabeller |
|
Indbyggede API-baserede dataconnectors, f.eks.: |
Understøttes ikke i øjeblikket |
|
Indbyggede dataconnectors fra tjeneste til tjeneste, f.eks.: |
DCR for transformation af arbejdsområde for tabeller, der understøtter transformationer |
Relateret indhold
Du kan finde flere oplysninger under: