Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie die Datentransformation zur Erfassungszeit und die benutzerdefinierte Protokollerfassung für die Verwendung in Microsoft Sentinel konfigurieren.
Die Datentransformation zur Erfassungszeit bietet Kunden mehr Kontrolle über die erfassten Daten. Ergänzend zu den vorkonfigurierten, hartcodierten Workflows, die standardisierte Tabellen erstellen, bietet die Transformation der Erfassungszeit die Möglichkeit, die Ausgabetabellen zu filtern und anzureichern, noch bevor Abfragen ausgeführt werden. Die benutzerdefinierte Protokollerfassung verwendet die API für benutzerdefinierte Protokolle, um Protokolle im benutzerdefinierten Format zu normalisieren, sodass sie in bestimmten Standardtabellen erfasst werden können, oder alternativ, um benutzerdefinierte Ausgabetabellen mit benutzerdefinierten Schemas für die Erfassung dieser benutzerdefinierten Protokolle zu erstellen.
Diese beiden Mechanismen werden mithilfe von Datensammlungsregeln (Data Collection Rules, DCRs) konfiguriert, entweder im Log Analytics-Portal oder über eine API oder ARM-Vorlage. Dieser Artikel hilft Ihnen bei der Auswahl der Art von DCR, die Sie für Ihren bestimmten Datenconnector benötigen, und leitet Sie zu den Anweisungen für jedes Szenario weiter.
Voraussetzungen
Bevor Sie mit dem Konfigurieren von DCRs für die Datentransformation beginnen:
Erfahren Sie mehr über Datentransformation und DCRs in Azure Monitor und Microsoft Sentinel. Weitere Informationen finden Sie unter:
Überprüfen Sie die Unterstützung des Datenconnectors. Stellen Sie sicher, dass Ihre Datenconnectors für die Datentransformation unterstützt werden.
Überprüfen Sie in unserem Referenzartikel zu Datenconnectors den Abschnitt für Ihren Datenconnector, um zu verstehen, welche Typen von DCRs unterstützt werden. Fahren Sie in diesem Artikel fort, um zu verstehen, wie sich der ausgewählte DCR-Typ auf den Rest des Erfassungs- und Transformationsprozesses auswirkt.
Ermitteln Ihrer Anforderungen
| Wenn Sie erfassen | Die Erfassungszeittransformation ist... | Verwenden Sie diesen DCR-Typ. |
|---|---|---|
|
Benutzerdefinierte Daten bis die Protokollerfassungs-API |
Standard DCR | |
|
Integrierte Datentypen (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) Verwenden des Azure Monitor-Agents |
Standard DCR | |
|
Integrierte Datentypen aus den meisten anderen Quellen |
Arbeitsbereichstransformations-DCR |
Konfigurieren der Datentransformation
Verwenden Sie die folgenden Verfahren aus der Dokumentation zu Log Analytics und Azure Monitor, um Ihre Datentransformations-DCRs zu konfigurieren:
Direkte Erfassung über die Protokollerfassungs-API:
- Führen Sie ein Tutorial zum Erfassen von Protokollen mithilfe des Azure-Portal durch.
- Führen Sie ein Tutorial zum Erfassen von Protokollen mithilfe von ARM-Vorlagen (Azure Resource Manager) und der REST-API durch.
Arbeitsbereichstransformationen:
- Führen Sie ein Tutorial zum Konfigurieren der Arbeitsbereichstransformation mithilfe der Azure-Portal durch.
- Führen Sie ein Tutorial zum Konfigurieren der Arbeitsbereichstransformation mit arm-Vorlagen (Azure Resource Manager) und REST-API durch.
Weitere Informationen zu Datensammlungsregeln:
- Struktur einer Datensammlungsregel in Azure Monitor (Vorschau)
- Datensammlungstransformationen in Azure Monitor (Vorschau)
Wenn Sie fertig sind, kehren Sie zu Microsoft Sentinel zurück, um zu überprüfen, ob Ihre Daten basierend auf Ihrer neu konfigurierten Transformation erfasst werden. Es kann bis zu 60 Minuten dauern, bis die Konfigurationen für die Datentransformation angewendet werden.
Migrieren zur Datentransformation zur Erfassungszeit
Wenn Sie derzeit über benutzerdefinierte Microsoft Sentinel-Datenconnectors oder integrierte API-basierte Datenconnectors verfügen, können Sie eine Migration zur Verwendung der Datentransformation zur Erfassungszeit durchführen.
Wenden Sie eine der folgenden Methoden an:
Konfigurieren Sie einen DcR, um die benutzerdefinierte Erfassung aus Ihrer Datenquelle in einer neuen Tabelle von Grund auf neu zu definieren. Sie können diese Option verwenden, wenn Sie ein neues Schema verwenden möchten, das nicht über die aktuellen Spaltensuffixe verfügt und keine KQL-Funktionen zur Abfragezeit benötigt, um Ihre Daten zu standardisieren.
Nachdem Sie sich vergewissert haben, dass Ihre Daten ordnungsgemäß in der neuen Tabelle erfasst wurden, können Sie die Legacytabelle sowie Ihren legacy-, benutzerdefinierten Datenconnector löschen.
Verwenden Sie weiterhin die benutzerdefinierte Tabelle, die von Ihrem benutzerdefinierten Datenconnector erstellt wurde. Sie können diese Option verwenden, wenn Sie viele benutzerdefinierte Sicherheitsinhalte für Ihre vorhandene Tabelle erstellt haben. In solchen Fällen finden Sie weitere Informationen unter Migrieren von der Datensammler-API und tabellen mit benutzerdefinierten Feldern zu DCR-basierten benutzerdefinierten Protokollen in der Azure Monitor-Dokumentation.
Nächste Schritte
Weitere Informationen zu Datentransformation und DCRs finden Sie unter:
- Benutzerdefinierte Datenerfassung und -transformation in Microsoft Sentinel (Vorschau)
- Datensammlungstransformationen in Azure-Überwachungsprotokollen (Vorschau)
- Protokollerfassungs-API in Azure-Überwachungsprotokollen (Vorschau)
- Struktur einer Datensammlungsregel in Azure Monitor (Vorschau)
- Konfigurieren der Datensammlung für den Azure Monitor-Agent