Erfasse historische Daten auf deiner Zielplattform

  • Artikel

In den vorherigen Artikeln hast Du eine Zielplattform für Deine historischen Daten ausgewählt. Du hast auch ein Tool zur Datenübertragung ausgewählt und die historischen Daten an einem Stagingspeicherort gespeichert. Du kannst jetzt damit beginnen, die Daten in die Zielplattform zu übertragen.

Dieser Artikel beschreibt, wie Du Deine historischen Daten in die von Dir ausgewählte Zielplattform übertragen kannst.

Exportieren von Daten aus dem Legacy-SIEM

In der Regel können SIEMs Daten in eine Datei in Deinem lokalen Dateisystem exportieren oder abbilden, sodass Du diese Methode nutzen kannst, um die historischen Daten zu extrahieren. Es ist auch wichtig, dass Du einen Stagingspeicherort für Deine exportierten Dateien einrichtest. Das Tool, mit dem Du die Datenaufnahme überträgst, kann die Dateien vom Stagingspeicherort in die Zielplattform kopieren.

Dieses Diagramm zeigt den allgemeinen Export- und Erfassungsprozess.

Diagram illustrating steps involved in export and ingestion.

Um Daten aus Deinem aktuellen SIEM zu exportieren, schau Dir einen der folgenden Abschnitte an:

Erfassung in Azure Data Explorer

So nimmst Du Deine historischen Daten in den Azure Data Explorer (ADX) auf (Option 1 im Diagramm oben):

  1. Installiere und konfiguriere LightIngest auf dem System, auf dem die Protokolle exportiert werden, oder installiere LightIngest auf einem anderen System, das Zugriff auf die exportierten Protokolle hat. LightIngest unterstützt nur Windows.
  2. Wenn Du keinen vorhandenen ADX-Cluster hast, erstelle einen neuen Cluster und kopiere die Verbindungszeichenfolge. Erfahre, wie Du ADX einrichtest.
  3. In ADX erstellst Du Tabellen und definierst ein Schema für das CSV- oder JSON-Format (für QRadar). Erfahre, wie Du eine Tabelle erstellst und ein Schema definierst, mit oder ohne Beispieldaten.
  4. Führe LightIngest mit dem Ordnerpfad, der die exportierten Logs enthält, als Pfad und der ADX-Verbindungszeichenfolge als Ausgabe aus. Wenn Du LightIngest ausführst, stelle sicher, dass Du den Namen der Ziel-ADX-Tabelle angibst, dass das Argumentmuster auf *.csvgesetzt ist und dass das Format auf .csv (oder jsonfür QRadar) gesetzt ist.

Erfassung von Daten in Microsoft Sentinel Basisprotokolle

So nimmst Du Deine historischen Daten in Microsoft Sentinel Basisprotokolle auf (Option 2 im obigen Diagramm):

  1. Wenn Du keinen vorhandenen Log Analytics-Arbeitsbereich hast, erstelle einen neuen Arbeitsbereich und installiere Microsoft Sentinel.

  2. Erstelle eine App-Registrierung um Dich bei der API zu authentifizieren.

  3. Erstelle einen Datensammlungsendpunkt. Dieser Endpunkt fungiert als API-Endpunkt, der die Daten akzeptiert.

  4. Erstelle eine benutzerdefinierte Protokolltabelle, um die Daten zu speichern, und stelle ein Datenbeispiel bereit. In diesem Schritt kannst Du auch eine Transformation definieren, bevor die Daten übernommen werden.

  5. Sammle Informationen aus der Datensammelregel und weise der Regel Berechtigungen zu.

  6. Ändere die Tabelle von Analytics zu Basisprotokolle.

  7. Führe das Skript Benutzerdefinierte Protokollerfassung aus. Das Skript fragt nach den folgenden Details:

    • Pfad zu den Protokolldateien, die aufgenommen werden sollen
    • Microsoft Entra-Mandanten-ID
    • Anwendungs-ID
    • Anwendungsgeheimnis
    • DCE-Endpunkt
    • Neue unveränderliche ID
    • Datenstromname aus dem DCR

    Das Skript gibt die Anzahl der Ereignisse zurück, die an den Arbeitsbereich gesendet wurden.

Erfassung in Azure Blob Storage

So nimmst Du Deine historischen Daten in den Azure Blob Storage auf (Option 3 im obigen Diagramm):

  1. Installiere und konfiguriere AzCopy auf dem System, auf das Du die Protokolle exportiert hast. Alternativ kannst Du AzCopy auch auf einem anderen System installieren, das Zugriff auf die exportierten Protokolle hat.
  2. Erstelle ein Azure Blob Storage-Konto und kopiere die autorisierten Microsoft Entra ID-Anmeldeinformationen oder das SAS (Shared Access Signature)-Token für den gemeinsamen Zugriff.
  3. Führe AzCopy mit dem Ordnerpfad aus, der die exportierten Protokolle als Quelle enthält, und die Azure Blob-Speicher Verbindungszeichenfolge als Ausgabe.

Nächste Schritte

In diesem Artikel hast Du gelernt, wie Du Deine Daten in die Zielplattform aufnimmst.

Konvertieren Deiner Dashboards in Arbeitsmappen