Ingesta de datos históricos en la plataforma de destino

En artículos anteriores, seleccionó una plataforma de destino para los datos históricos. También ha seleccionado una herramienta para transferir los datos y almacenar los datos históricos en una ubicación de almacenamiento provisional. Ahora puede empezar a ingerir los datos en la plataforma de destino.

En este artículo se describe cómo ingerir los datos históricos en la plataforma de destino seleccionada.

Exportación de datos del SIEM heredado

En general, los SIEM pueden exportar o volcar datos en un archivo del sistema de archivos local, por lo que puede usar este método para extraer los datos históricos. También es importante configurar una ubicación de almacenamiento provisional para los archivos exportados. La herramienta que se usa para transferir la ingesta de datos puede copiar los archivos desde la ubicación de almacenamiento provisional a la plataforma de destino.

En este diagrama se muestra el proceso de exportación e ingesta de alto nivel.

Diagrama que ilustra los pasos implicados en la exportación y la ingesta.

Para exportar datos desde el SIEM actual, consulte una de las secciones siguientes:

Ingerir para Azure Data Explorer

Para ingerir los datos históricos en Azure Data Explorer (ADX) (opción 1 del diagrama anterior):

  1. Instale y configure LightIngest en el sistema donde se exportan los registros o instale LightIngest en otro sistema que tenga acceso a los registros exportados. LightIngest solo admite Windows.
  2. Si no tiene un clúster ADX existente, cree un clúster y copie el cadena de conexión. Obtenga información sobre cómo configurar ADX.
  3. En ADX, cree tablas y defina un esquema para el formato CSV o JSON (para QRadar). Obtenga información sobre cómo crear una tabla y definir un esquema con datos de ejemplo o sin datos de ejemplo.
  4. Ejecute LightIngest con la ruta de acceso de la carpeta que incluye los registros exportados como ruta de acceso y el cadena de conexión ADX como salida. Al ejecutar LightIngest, asegúrese de proporcionar el nombre de la tabla ADX de destino, de que el patrón de argumento está establecido en *.csvy de que el formato se establece .csv en (o json para QRadar).

Ingesta de datos para Microsoft Sentinel registros auxiliares o básicos

Para ingerir los datos históricos en Microsoft Sentinel registros auxiliares o registros básicos (opción 2 del diagrama anterior):

  1. Si no tiene un área de trabajo de Log Analytics existente, cree una nueva área de trabajo e instale Microsoft Sentinel.

  2. Cree un registro de aplicación para autenticarse en la API.

  3. Cree una tabla de registro personalizada para almacenar los datos y proporcionar un ejemplo de datos. En este paso, también puede definir una transformación antes de ingerir los datos.

  4. Recopile información de la regla de recopilación de datos y asigne permisos a la regla.

  5. Cambie la tabla de Analytics a Registros auxiliares o básicos.

  6. Ejecute el script de ingesta de registros personalizados. El script solicita los siguientes detalles:

    • Ruta de acceso a los archivos de registro que se van a ingerir
    • Microsoft Entra identificador de inquilino
    • Id. de aplicación
    • Secreto de aplicación
    • Punto de conexión DCE (use el URI del punto de conexión de ingesta de registros para dcr)
    • Id. inmutable de DCR
    • Nombre de la secuencia de datos de DCR

    El script devuelve el número de eventos que se han enviado al área de trabajo.

Ingerir para Azure Blob Storage

Para ingerir los datos históricos en Azure Blob Storage (opción 3 del diagrama anterior):

  1. Instale y configure AzCopy en el sistema al que exportó los registros. Como alternativa, instale AzCopy en otro sistema que tenga acceso a los registros exportados.
  2. Cree una cuenta de Azure Blob Storage y copie las credenciales de Microsoft Entra ID autorizadas o el token de firma de acceso compartido.
  3. Ejecute AzCopy con la ruta de acceso de la carpeta que incluye los registros exportados como origen y el Azure Blob Storage cadena de conexión como salida.

Pasos siguientes

En este artículo, ha aprendido a ingerir los datos en la plataforma de destino.

Conversión de los paneles en libros

  • Last updated on