Ingesta de datos históricos en la plataforma de destino
En los artículos anteriores, seleccionó una plataforma de destino para los datos históricos. También seleccionó una herramienta para transferir los datos y almacenar los datos históricos en una ubicación de almacenamiento provisional. Ahora puede empezar a ingerir los datos en la plataforma de destino.
En este artículo se describe cómo ingerir los datos históricos en la plataforma de destino seleccionada.
Exportación de datos desde la SIEM heredada
En general, las SIEM pueden exportar o volcar datos en un archivo del sistema de archivos local, por lo que puede usar este método para extraer los datos históricos. También es importante configurar una ubicación de almacenamiento provisional para los archivos exportados. La herramienta que se usa para transferir la ingesta de datos puede copiar los archivos de la ubicación de almacenamiento provisional a la plataforma de destino.
En este diagrama se muestra el proceso general de exportación e ingesta.
Para exportar datos desde la SIEM actual, consulte una de las secciones a continuación:
- Exportación de datos desde ArcSight
- Exportación de datos desde Splunk
- Exportación de datos desde QRadar
Ingesta en Azure Data Explorer
Para ingerir los datos históricos en Azure Data Explorer (ADX) (opción 1 en el diagrama anterior):
- Instale y configure LightIngest en el sistema adonde se exportan los registros, o instale LightIngest en otro sistema que tenga acceso a los registros exportados. LightIngest solo admite Windows.
- Si no tiene un clúster de ADX existente, cree un nuevo clúster y copie la cadena de conexión. Aprenda a configurar ADX.
- En ADX, cree tablas y defina un esquema para el formato CSV o JSON (para QRadar). Obtenga información sobre cómo crear una tabla y definir un esquema con o sin datos de ejemplo.
- Ejecute LightIngest con la ruta de acceso de la carpeta que incluye los registros exportados como ruta de acceso, y con la cadena de conexión de ADX como salida. Al ejecutar LightIngest, asegúrese de indicar el nombre de la tabla de ADX de destino, que el patrón de argumentos esté establecido en
*.csvy que el formato esté establecido en.csv(o enjsonpara QRadar).
Ingesta de datos en los registros básicos de Microsoft Sentinel
Para ingerir los datos históricos en los registros básicos de Microsoft Sentinel (opción 2 en el diagrama anterior):
Si no tiene un área de trabajo de Log Analytics existente, cree una nueva área de trabajo e instale Microsoft Sentinel.
Cree un punto de conexión de recopilación de datos. Este punto de conexión sirve de punto de conexión de API que acepta los datos.
Cree una tabla de registro personalizada para almacenar los datos y proporcione un ejemplo de datos. En este paso, también puede definir una transformación antes de la ingesta de los datos.
Recopile información de la regla de recopilación de datos y asigne permisos a la regla.
Ejecute el script de ingesta de registros personalizados. El script solicita los detalles siguientes:
- Ruta de acceso a los archivos de registro que se van a ingerir
- Identificador de inquilino de Microsoft Entra
- Id. de aplicación
- Secreto de la aplicación
- Punto de conexión de DCE
- Id. inalterable de DCR
- Nombre del flujo de datos de DCR
El script devuelve el número de eventos que se han enviado al área de trabajo.
Ingesta en Azure Blob Storage
Para ingerir los datos históricos en Azure Blob Storage (opción 3 en el diagrama anterior):
- Instale y configure AzCopy en el sistema al que exportó los registros. Como alternativa, instale AzCopy en otro sistema que tenga acceso a los registros exportados.
- Cree una cuenta de Azure Blob Storage y copie las credenciales de Microsoft Entra ID autorizadas o el token de Firma de acceso compartido.
- Ejecute AzCopy con la ruta de acceso de la carpeta que incluye los registros exportados como origen, y la cadena de conexión de Azure Blob Storage como salida.
Pasos siguientes
En este artículo, ha aprendido a ingerir los datos en la plataforma de destino.