Transformation ou personnalisation des données au moment de l’ingestion dans Microsoft Sentinel (préversion)

Cet article explique comment configurer la transformation des données au moment de l’ingestion et l’ingestion des journaux personnalisés pour une utilisation dans Microsoft Sentinel.

La transformation des données au moment de l’ingestion permet aux clients de mieux contrôler les données ingérées. En complétant les workflows préconfigurés et codés en dur qui créent des tables standardisées, la transformation au moment de l’ingestion ajoute la possibilité de filtrer et d’enrichir les tables de sortie, même avant d’exécuter des requêtes. L’ingestion de journaux personnalisés utilise l’API Custom Log pour normaliser les journaux de format personnalisé afin qu’ils puissent être ingérés dans certaines tables standard, ou bien pour créer des tables de sortie personnalisées avec des schémas définis par l’utilisateur en vue d’ingérer ces journaux personnalisés.

Ces deux mécanismes sont configurés à l’aide des règles de collecte des données (DCR), soit dans le portail Log Analytics, soit via une API ou un modèle ARM. Cet article vous aidera à choisir le type de DCR dont vous avez besoin pour votre connecteur de données particulier et à vous diriger vers les instructions de chaque scénario.

Prérequis

Avant de commencer à configurer les DCR pour la transformation de données :

• En savoir plus sur la transformation des données et les DCR dans Azure Monitor et Microsoft Sentinel. Pour plus d'informations, consultez les pages suivantes :

  • Règles de collecte de données dans Azure Monitor
  • API d’ingestion des journaux dans les journaux Azure Monitor Logs (préversion)
  • Transformations dans les journaux Azure Monitor Logs (préversion)
  • Transformation de données dans Microsoft Sentinel (version préliminaire)

• Vérifiez la prise en charge du connecteur de données. Assurez-vous que vos connecteurs de données sont pris en charge pour la transformation des données.

  Dans notre article de référence sur le connecteur de données, consultez la section relative à votre connecteur de données pour connaître les types de DCR pris en charge. Poursuivez dans cet article pour comprendre comment le type de DCR que vous sélectionnez affecte le reste du processus d’ingestion et de transformation.

Déterminer vos exigences

Si vous en train de recevoir des données	La transformation au moment de l’ingestion est...	Utiliser ce type DCR
Données personnalisées via L’API d’ingestion de journaux	Obligatoire Incluse dans la DCR qui définit le modèle de données	DCR standard
Types de données intégrés (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) utilisation de l’agent Azure Monitor	Facultatif Si vous le souhaitez, ajouté à la DCR qui configure la façon dont ces données sont ingérées	DCR standard
Types de données intégrés à partir de la plupart des autres sources	Facultatif Si vous le souhaitez, ajouté au DCR attaché à l’espace de travail dans lequel ces données sont ingérées	DCR de transformation de l’espace de travail

Configurer votre transformation de données

Utilisez les procédures suivantes de la documentation Log Analytics et Azure Monitor pour configurer vos DCR de transformation de données :

Ingestion directe via l’API d’ingestion de journaux :

• Suivez un tutoriel pour l’ingestion des journaux à l’aide du Portail Azure.
• Suivez un tutoriel pour l’ingestion des journaux à l’aide de modèles Azure Resource Manager (ARM) et de l’API REST.

Transformations d’espace de travail :

• Suivez un tutoriel pour configurer la transformation de l’espace de travail à l’aide du Portail Azure.
• Suivez un tutoriel pour configurer la transformation de l’espace de travail à l’aide de modèles ARM (Azure Resource Manager) et l’API REST.-

En savoir plus sur les règles de collecte de données :

• Structure d’une règle de collecte de données dans Azure Monitor (préversion)
• Transformations de la collecte de données dans Azure Monitor (préversion)

Lorsque vous avez terminé, revenez à Microsoft Sentinel pour vérifier que vos données sont en cours d’ingestion en fonction de la transformation que vous venez de configurer. 60 minutes peuvent être nécessaires pour que les configurations de transformation de données s’appliquent.

Migrer vers la transformation de données au moment de l’ingestion

Si vous disposez actuellement de connecteurs de données Microsoft Sentinel personnalisés ou de connecteurs de données intégrés basés sur une API, vous pouvez migrer à l’aide de la transformation de données au moment de l’ingestion.

Appliquez l'une des méthodes suivantes :

• Configurez une DCR pour définir à partir de zéro l’ingestion personnalisée de votre source de données vers une nouvelle table. Vous pouvez utiliser cette option si vous souhaitez utiliser un nouveau schéma qui n’a pas les suffixes de colonne actuels et qui ne requiert pas de fonctions KQL au moment de la requête pour normaliser vos données.

  Une fois que vous avez vérifié que vos données sont correctement ingérées dans la nouvelle table, vous pouvez supprimer la table héritée, ainsi que votre connecteur de données personnalisé hérité.

• Continuez à utiliser la table personnalisée créée par votre connecteur de données personnalisé. Vous pouvez utiliser cette option si vous avez beaucoup de contenu de sécurité personnalisé créé pour votre table existante. Dans ce cas, consultez Migrer de l’API Collecteur de données et des tables avec champs personnalisés vers des journaux personnalisés basés sur une DCR dans la documentation Azure Monitor.

Étapes suivantes

Pour plus d’informations sur la transformation des données et les DCR, consultez :

• Ingestion et transformation de données personnalisées dans Microsoft Sentinel (préversion)
• Transformations de la collecte de données dans Azure Monitor Logs (préversion)
• API d’ingestion des journaux dans les journaux Azure Monitor Logs (préversion)
• Structure d’une règle de collecte de données dans Azure Monitor (préversion)
• Configurer la collecte de données pour l’agent Azure Monitor