Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In vorherigen Artikeln haben Sie eine Zielplattform für Ihre Verlaufsdaten ausgewählt. Außerdem haben Sie ein Tool zum Übertragen Ihrer Daten ausgewählt und die Verlaufsdaten an einem Stagingspeicherort gespeichert. Sie können nun damit beginnen, die Daten auf der Zielplattform zu erfassen.
In diesem Artikel wird beschrieben, wie Sie Ihre Verlaufsdaten auf der ausgewählten Zielplattform erfassen.
Exportieren von Daten aus der Legacy-SIEM-Datei
Im Allgemeinen können SIEMs Daten exportieren oder in eine Datei in Ihrem lokalen Dateisystem abspeichern, sodass Sie diese Methode verwenden können, um die Verlaufsdaten zu extrahieren. Es ist auch wichtig, einen Stagingspeicherort für Ihre exportierten Dateien einzurichten. Das Tool, mit dem Sie die Datenerfassung übertragen, kann die Dateien vom Stagingspeicherort auf die Zielplattform kopieren.
Dieses Diagramm zeigt den allgemeinen Export- und Erfassungsprozess.
Informationen zum Exportieren von Daten aus Ihrem aktuellen SIEM finden Sie in einem der folgenden Abschnitte:
- Exportieren von Daten aus ArcSight
- Exportieren von Daten aus Splunk
- Exportieren von Daten aus QRadar
Erfassung in Azure Data Explorer
So erfassen Sie Ihre Verlaufsdaten in Azure Data Explorer (ADX) (Option 1 im obigen Diagramm):
- Installieren und konfigurieren Sie LightIngest auf dem System, auf dem Protokolle exportiert werden, oder installieren Sie LightIngest auf einem anderen System, das Zugriff auf die exportierten Protokolle hat. LightIngest unterstützt nur Windows.
- Wenn Sie nicht über einen vorhandenen ADX-Cluster verfügen, erstellen Sie einen neuen Cluster, und kopieren Sie den Verbindungszeichenfolge. Erfahren Sie, wie Sie ADX einrichten.
- Erstellen Sie in ADX Tabellen, und definieren Sie ein Schema für das CSV- oder JSON-Format (für QRadar). Erfahren Sie, wie Sie eine Tabelle erstellen und ein Schema mit Beispieldaten oder ohne Beispieldaten definieren.
-
Führen Sie LightIngest mit dem Ordnerpfad aus, der die exportierten Protokolle als Pfad enthält, und dem ADX-Verbindungszeichenfolge als Ausgabe. Stellen Sie beim Ausführen von LightIngest sicher, dass Sie den Namen der ADX-Zieltabelle angeben, dass das Argumentmuster auf
*.csvfestgelegt ist und das Format auf.csv(oderjsonfür QRadar) festgelegt ist.
Erfassen von Daten in Microsoft Sentinel Hilfs-/Basisprotokollen
So erfassen Sie Ihre Verlaufsdaten in Microsoft Sentinel Hilfsprotokollen oder Basisprotokollen (Option 2 im obigen Diagramm):
Wenn Sie noch keinen Log Analytics-Arbeitsbereich haben, erstellen Sie einen neuen Arbeitsbereich, und installieren Sie Microsoft Sentinel.
Erstellen Sie eine App-Registrierung, um sich bei der API zu authentifizieren.
Erstellen Sie eine benutzerdefinierte Protokolltabelle zum Speichern der Daten, und stellen Sie ein Datenbeispiel bereit. In diesem Schritt können Sie auch eine Transformation definieren, bevor die Daten erfasst werden.
Sammeln Sie Informationen aus der Datensammlungsregel , und weisen Sie der Regel Berechtigungen zu.
Ändern Sie die Tabelle von Analytics in Hilfs- oder Basisprotokolle.
Führen Sie das Skript für die benutzerdefinierte Protokollerfassung aus. Das Skript fragt nach den folgenden Details:
- Pfad zu den zu erfassenden Protokolldateien
- Microsoft Entra Mandanten-ID
- Anwendungs-ID
- Anwendungsgeheimnis
- DCE-Endpunkt (Verwenden Sie den Protokollerfassungsendpunkt-URI für den DCR)
- UNVERÄNDERLICHE DCR-ID
- Datenstromname aus dem DCR
Das Skript gibt die Anzahl der Ereignisse zurück, die an den Arbeitsbereich gesendet wurden.
Erfassung in Azure Blob Storage
So erfassen Sie Ihre Verlaufsdaten in Azure Blob Storage (Option 3 im obigen Diagramm):
- Installieren und konfigurieren Sie AzCopy auf dem System, in das Sie die Protokolle exportiert haben. Alternativ können Sie AzCopy auf einem anderen System installieren, das Zugriff auf die exportierten Protokolle hat.
- Erstellen Sie ein Azure Blob Storage-Konto, und kopieren Sie die autorisierten Microsoft Entra ID Anmeldeinformationen oder das Shared Access Signature-Token.
- Führen Sie AzCopy mit dem Ordnerpfad aus, der die exportierten Protokolle als Quelle enthält, und dem Azure Blob Storage Verbindungszeichenfolge als Ausgabe.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Ihre Daten auf der Zielplattform erfassen.