Historiatietojen käyttö kohdeympäristössä

Edellisissä artikkeleissa valitsit historiatietojen kohdeympäristön . Valitsit myös työkalun tietojen siirtämiseksi ja tallensit historialliset tiedot valmistelusijaintiin. Voit nyt aloittaa tietojen sisäänotton kohdeympäristöön.

Tässä artikkelissa kerrotaan, miten voit käyttää historiallisia tietojasi valitussa kohdeympäristössä.

Vie tiedot vanhasta SIEM:stä

Yleensä siemit voivat viedä tai vedostaa tietoja tiedostoon paikallisessa tiedostojärjestelmässäsi, joten voit poimia historialliset tiedot tällä menetelmällä. On myös tärkeää määrittää vietävien tiedostojen valmistelusijainti. Tietojen käsittelytyökalu, jota käytät tietojen käsittelemiseen, voi kopioida tiedostot valmistelusijainnista kohdeympäristöön.

Tässä kaaviossa näytetään korkean tason vienti- ja käsittelyprosessi.

Kaavio, joka kuvaa vientiin ja tietojen käsittelytapaan liittyviä vaiheita.

Jos haluat viedä tietoja nykyisestä SIEM:stä, katso jotain seuraavista osioista:

Käyttö Azure Data Explorer

Historiatietojen käyttäminen Azure Data Explorer (ADX) (yllä olevassa kaaviossa vaihtoehto 1):

  1. Asenna ja määritä LightIngest järjestelmään, johon lokit viedään, tai asenna LightIngest toiseen järjestelmään, jolla on pääsy vietyihin lokeihin. LightIngest tukee vain Windowsia.
  2. Jos sinulla ei ole aiemmin luotua ADX-klusteria, luo uusi klusteri ja kopioi yhteysmerkkijono. Opi määrittämään ADX.
  3. Luo ADX:ssä taulukoita ja määritä rakenne CSV- tai JSON-muodolle (QRadar-taulukoille). Opi luomaan taulukko ja määrittämään rakenne mallitiedillä tai ilman mallitietoja.
  4. Suorita LightIngest- kansiopolku, jonka polkuna on viedyt lokit, ja tulosteena yhteysmerkkijono ADX-yhteysmerkkijono. Kun suoritat LightIngest-toiminnon, varmista, että annat ADX-kohdetaulukon nimen, että argumenttimalliksi *.csvon määritetty , ja muoto on ( .csv tai json QRadar).

Tietojen käyttö Microsoft Sentinel apulokeihin tai peruslokeihin

Historiatietojen käyttäminen Microsoft Sentinel apulokeihin tai peruslokeihin (yllä olevan kaavion vaihtoehto 2):

  1. Jos sinulla ei ole aiemmin luotua Log Analytics -työtilaa, luo uusi työtila ja asenna Microsoft Sentinel.

  2. Luo sovelluksen rekisteröinti ohjelmointirajapinnan todentamista varten.

  3. Luo mukautettu lokitaulukko tietojen tallentamista varten ja anna tietomalli. Tässä vaiheessa voit myös määrittää muunnoksen ennen tietojen käyttöä.

  4. Kerää tietoja tiedonkeräyssäännöstä ja määritä säännölle käyttöoikeudet.

  5. Muuta taulukko Analytiikasta apulokiksi tai Peruslokiksi.

  6. Suorita mukautettu lokin käsittely -komentosarja. Komentosarjassa kysytään seuraavia tietoja:

    • Lokitiedostojen sisäänottopolku
    • Microsoft Entra vuokraajan tunnus
    • Sovellustunnus
    • Sovelluksen salauskoodi
    • DCE-päätepiste (Käytä lokien käsittelypäätepisteen URI-tunnusta DCR:lle)
    • DcR:n muuttumaton tunnus
    • Tietovirran nimi DCR:stä

    Komentosarja palauttaa työtilaan lähetettyjen tapahtumien määrän.

Blob Azure säilön käyttö

Jos haluat käyttää historialliset tietosi Azure Blob-säilöön (yllä olevassa kaaviossa vaihtoehto 3):

  1. Asenna ja määritä AzCopy järjestelmään, johon veit lokit. Vaihtoehtoisesti voit asentaa AzCopyn toiseen järjestelmään, jolla on pääsy vietyihin lokeihin.
  2. Luo Azure Blob-säilön tili ja kopioi valtuutetut Microsoft Entra ID tunnistetiedot tai jaetun käytön allekirjoituksen tunnus.
  3. Suorita AzCopy kansiopolulla, jonka lähteenä on viedyt lokit, ja tulosteena Azure Blob-säilö yhteysmerkkijono.

Seuraavat vaiheet

Tässä artikkelissa olet oppinut käyttämään tietoja kohdeympäristössä.

Koontinäyttöjen muuntaminen työkirjoiksi

  • Last updated on