Transformation ou personnalisation des données au moment de l’ingestion dans Microsoft Sentinel (préversion)
Cet article explique comment configurer la transformation des données au moment de l’ingestion et l’ingestion des journaux personnalisés pour une utilisation dans Microsoft Sentinel.
La transformation des données au moment de l’ingestion permet aux clients de mieux contrôler les données ingérées. En complétant les workflows préconfigurés et codés en dur qui créent des tables standardisées, la transformation au moment de l’ingestion ajoute la possibilité de filtrer et d’enrichir les tables de sortie, même avant d’exécuter des requêtes. L’ingestion de journaux personnalisés utilise l’API Custom Log pour normaliser les journaux de format personnalisé afin qu’ils puissent être ingérés dans certaines tables standard, ou bien pour créer des tables de sortie personnalisées avec des schémas définis par l’utilisateur en vue d’ingérer ces journaux personnalisés.
Ces deux mécanismes sont configurés à l’aide des règles de collecte des données (DCR), soit dans le portail Log Analytics, soit via une API ou un modèle ARM. Cet article vous aidera à choisir le type de DCR dont vous avez besoin pour votre connecteur de données particulier et à vous diriger vers les instructions de chaque scénario.
Prérequis
Avant de commencer à configurer les DCR pour la transformation de données :
En savoir plus sur la transformation des données et les DCR dans Azure Monitor et Microsoft Sentinel. Pour plus d'informations, consultez les pages suivantes :
Vérifiez la prise en charge du connecteur de données. Assurez-vous que vos connecteurs de données sont pris en charge pour la transformation des données.
Dans notre article de référence sur le connecteur de données, consultez la section relative à votre connecteur de données pour connaître les types de DCR pris en charge. Poursuivez dans cet article pour comprendre comment le type de DCR que vous sélectionnez affecte le reste du processus d’ingestion et de transformation.
Déterminer vos exigences
| Si vous en train de recevoir des données | La transformation au moment de l’ingestion est... | Utiliser ce type DCR |
|---|---|---|
| Données personnalisées via L’API d’ingestion de journaux |
DCR standard | |
| Types de données intégrés (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) utilisation de l’agent Log Analytics (MMA) |
DCR de transformation de l’espace de travail | |
| Types de données intégrés à partir de la plupart des autres sources |
DCR de transformation de l’espace de travail |
Configurer votre transformation de données
Utilisez les procédures suivantes de la documentation Log Analytics et Azure Monitor pour configurer vos DCR de transformation de données :
Ingestion directe via l’API d’ingestion de journaux :
- Suivez un tutoriel pour l’ingestion des journaux à l’aide du Portail Azure.
- Suivez un tutoriel pour l’ingestion des journaux à l’aide de modèles Azure Resource Manager (ARM) et de l’API REST.
Transformations d’espace de travail :
- Suivez un tutoriel pour configurer la transformation de l’espace de travail à l’aide du Portail Azure.
- Suivez un tutoriel pour configurer la transformation de l’espace de travail à l’aide de modèles ARM (Azure Resource Manager) et l’API REST.-
En savoir plus sur les règles de collecte de données :
- Structure d’une règle de collecte de données dans Azure Monitor (préversion)
- Transformations de la collecte de données dans Azure Monitor (préversion)
Lorsque vous avez terminé, revenez à Microsoft Sentinel pour vérifier que vos données sont en cours d’ingestion en fonction de la transformation que vous venez de configurer. 60 minutes peuvent être nécessaires pour que les configurations de transformation de données s’appliquent.
Migrer vers la transformation de données au moment de l’ingestion
Si vous disposez actuellement de connecteurs de données Microsoft Sentinel personnalisés ou de connecteurs de données intégrés basés sur une API, vous pouvez migrer à l’aide de la transformation de données au moment de l’ingestion.
Appliquez l'une des méthodes suivantes :
Configurez une DCR pour définir à partir de zéro l’ingestion personnalisée de votre source de données vers une nouvelle table. Vous pouvez utiliser cette option si vous souhaitez utiliser un nouveau schéma qui n’a pas les suffixes de colonne actuels et qui ne requiert pas de fonctions KQL au moment de la requête pour normaliser vos données.
Une fois que vous avez vérifié que vos données sont correctement ingérées dans la nouvelle table, vous pouvez supprimer la table héritée, ainsi que votre connecteur de données personnalisé hérité.
Continuez à utiliser la table personnalisée créée par votre connecteur de données personnalisé. Vous pouvez utiliser cette option si vous avez beaucoup de contenu de sécurité personnalisé créé pour votre table existante. Dans ce cas, consultez Migrer de l’API Collecteur de données et des tables avec champs personnalisés vers des journaux personnalisés basés sur une DCR dans la documentation Azure Monitor.
Étapes suivantes
Pour plus d’informations sur la transformation des données et les DCR, consultez :
- Ingestion et transformation de données personnalisées dans Microsoft Sentinel (préversion)
- Transformations de la collecte de données dans Azure Monitor Logs (préversion)
- API d’ingestion des journaux dans les journaux Azure Monitor Logs (préversion)
- Structure d’une règle de collecte de données dans Azure Monitor (préversion)
- Configurer la collecte de données pour l’agent Azure Monitor
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour