Transformieren oder Anpassen von Daten zur Erfassungszeit in Microsoft Sentinel (Vorschau)

In diesem Artikel wird beschrieben, wie Sie die Datentransformation zur Erfassungszeit und die benutzerdefinierte Protokollerfassung zur Verwendung in Microsoft Sentinel konfigurieren.

Die Datentransformation zur Erfassungszeit bietet Kund*innen mehr Kontrolle über die erfassten Daten. Zusätzlich zu den vorkonfigurierten, hardcodierten Workflows, die standardisierte Tabellen erstellen, bietet die Transformation zur Erfassungszeit die Möglichkeit, die Ausgabetabellen zu filtern und anzureichern, bevor irgendwelche Abfragen ausgeführt werden. Bei der Erfassung benutzerdefinierter Protokolle wird die API für benutzerdefinierte Protokolle verwendet, um Protokolle im benutzerdefinierten Format zu normalisieren, damit sie in bestimmten Standardtabellen erfasst werden können, oder alternativ, um benutzerdefinierte Ausgabetabellen mit benutzerdefinierten Schemas zur Erfassung dieser benutzerdefinierten Protokolle zu erstellen.

Diese beiden Mechanismen werden mithilfe von Datensammlungsregeln (Data Collection Rules, DCRs) entweder im Log Analytics-Portal oder über eine API oder ARM-Vorlage konfiguriert. In diesem Artikel erhalten Sie Informationen dazu, welche Art von DCR Sie für einen bestimmten Datenconnector benötigen. Auch finden Sie dort Anweisungen für jedes Szenario.

Voraussetzungen

Vor der Konfigurieren der DCRS für die Datentransformation:

• Hier erfahren Sie mehr über die Datentransformation und DCRs in Azure Monitor und Microsoft Sentinel. Weitere Informationen finden Sie unter:

  • Datensammlungsregeln in Azure Monitor
  • API für protokollierte Datenerfassung in Azure Monitor-Protokollen (Vorschau)
  • Transformationen in Azure Monitor-Protokollen (Vorschau)
  • Datentransformation in Microsoft Sentinel (Vorschau)

• Überprüfen der Unterstützung des Datenconnectors Stellen Sie sicher, dass Ihre Datenconnectors für die Datentransformation unterstützt werden.

  Lesen Sie im Artikel Referenz zu Datenconnectoren den Abschnitt zu Ihrem Datenconnector, um mehr darüber zu erfahren, welche Arten von DCRs unterstützt werden. Lesen Sie den Rest des Artikels, um mehr darüber zu erfahren, wie sich die ausgewählte DCR-Art auf den Rest des Erfassungs- und Transformationsprozesses auswirken kann.

Bestimmen Ihrer Anforderungen

Wenn Sie Folgendes erfassen...	...ist die Transformation zur Erfassungszeit:	Verwenden Sie diesen DCR-Typ:
Benutzerdefinierte Daten durch die Protokollerfassungs-API	Erforderlich In der DCR enthalten, die das Datenmodell definiert	Standard-DCR
Integrierte Datentypen (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) mithilfe des Azure Monitor-Agents	Optional Wird bei Bedarf der DCR hinzugefügt, die konfiguriert, wie diese Daten erfasst werden	Standard-DCR
Integrierte Datentypen aus den meisten anderen Quellen	Optional Der DCR hinzugefügt (bei Bedarf), die an den Arbeitsbereich angefügt ist, in dem diese Daten erfasst werden	Arbeitsbereichstransformations-DCR

Konfigurieren Ihrer Datentransformation

Verwenden Sie die folgenden Prozeduren aus der Dokumentation zu Log Analytics und Azure Monitor, um Ihre Datentransformations-DCRs zu konfigurieren:

Direkte Erfassung über die Protokollerfassungs-API:

• Arbeiten Sie ein Tutorial zur erfasste Protokolle über das Azure-Portal durch.
• Arbeiten Sie ein Tutorial zur erfasste Protokolle mithilfe von Azure Resource Manager Vorlagen( ARM)und der REST-API durch.

Arbeitsbereichstransformationen:

• Arbeiten Sie ein Tutorial zur Konfiguration der Arbeitsbereichstransformationen bei Verwendung des Azure-Portal durch.
• Arbeiten Sie ein Tutorial zur Konfiguration der Arbeitsbereichstransformationen mithilfe von Azure Resource Manager Vorlagen (ARM) und der REST-API durch.-

Weitere Informationen zu Datensammlungsregeln:

• Struktur einer Datensammlungsregel in Azure Monitor (Vorschau)
• Datensammlung von Transformationen in Azure Monitor (Vorschau)

Wenn Sie fertig sind, wechseln Sie zurück zu Microsoft Sentinel, um zu überprüfen, ob Ihre Daten basierend auf Ihrer neu konfigurierten Transformation erfasst werden. Es kann bis zu 60 Minuten dauern, bis die Konfigurationen der Datentransformation angewendet werden.

Wechseln zur Datentransformation zur Erfassungszeit

Wenn Sie derzeit über benutzerdefinierte Microsoft Sentinel-Dataconnectors oder integrierte API-basierte Datenconnectors verfügen, sollten Sie stattdessen die Datentransformation zur Erfassungszeit verwenden.

Verwenden Sie eine der folgenden Methoden:

• Konfigurieren Sie eine neue DCR, um die benutzerdefinierte Erfassung aus Ihrer Datenquelle in eine neue Tabelle neu zu definieren. Sie können diese Option nutzen, wenn Sie ein neues Schema verwenden möchten, das nicht über die aktuellen Spaltensuffixe verfügt und keine KQL-Funktionen zur Abfragezeit benötigt, um Ihre Daten zu standardisieren.

  Nachdem Sie sichergestellt haben, dass Ihre Daten ordnungsgemäß in der neuen Tabelle erfasst werden, können Sie die Legacytabelle sowie den benutzerdefinierten Legacydatenconnector löschen.

• Verwenden Sie weiterhin die benutzerdefinierte Tabelle, die von Ihrem benutzerdefinierten Datenconnector erstellt wurde. Sie können diese Option verwenden, wenn Sie viele benutzerdefinierte Sicherheitsinhalte für die vorhandene Tabelle erstellt haben. In solchen Fällen finden Sie in der Dokumentation zu Azure Monitor unter Migrieren von der Datensammler-API und benutzerdefinierten Tabellen mit aktivieren Feldern zu DCR-basierten benutzerdefinierten Protokollen weitere Informationen.

Nächste Schritte

Weitere Informationen zu Datentransformationen und DCRs finden Sie hier:

• Benutzerdefinierte Datenerfassung und -transformation in Microsoft Sentinel (Vorschau)
• Datensammlung von Transformationen in Azure Monitor Protokolle (Vorschau)
• API für protokollierte Datenerfassung in Azure Monitor-Protokollen (Vorschau)
• Struktur einer Datensammlungsregel in Azure Monitor (Vorschau)
• Konfigurieren der Datensammlung für den Azure Monitor-Agent