Menyerap data historis ke platform target Anda

Di artikel sebelumnya, Anda memilih platform target untuk data historis Anda. Anda juga memilih alat untuk mentransfer data Anda dan menyimpan data historis di lokasi penahapan. Anda sekarang dapat mulai menyerap data ke dalam platform target.

Artikel ini menjelaskan cara menyerap data historis Anda ke platform target yang Anda pilih.

Mengekspor data dari SIEM warisan

Secara umum, SIEM dapat mengekspor atau mencadangkan data ke file dalam sistem file lokal Anda, sehingga Anda dapat menggunakan metode ini untuk mengekstrak data historis. Penting juga untuk menyiapkan lokasi penahapan untuk file yang Anda ekspor. Alat yang Anda gunakan untuk mentransfer penyerapan data dapat menyalin file dari lokasi penahapan ke platform target.

Diagram ini menampilkan proses ekspor dan penyerapan tingkat tinggi.

Diagram illustrating steps involved in export and ingestion.

Untuk mengekspor data dari SIEM Anda saat ini, lihat salah satu bagian berikut ini:

Menyerap ke Azure Data Explorer

Untuk menyerap data historis Anda ke Azure Data Explorer (ADX) (opsi 1 dalam diagram di atas):

  1. Instal dan konfigurasikan LightIngest pada sistem tempat log diekspor, atau instal LightIngest pada sistem lain yang memiliki akses ke log yang diekspor. LightIngest hanya mendukung Windows.
  2. Jika Anda tidak memiliki kluster ADX yang sudah ada, buat kluster baru dan salin string koneksi. Pelajari cara menyiapkan ADX.
  3. Di ADX, buat tabel dan tentukan skema untuk format CSV atau JSON (untuk QRadar). Pelajari cara membuat tabel dan menentukan skema dengan data sampel atau tanpa data sampel.
  4. Jalankan LightIngest dengan jalur folder yang menyertakan log yang diekspor sebagai jalur, dan string koneksi ADX sebagai output. Saat Anda menjalankan LightIngest, pastikan Anda memberikan nama tabel ADX target, bahwa pola argumen diatur ke *.csv, dan format diatur ke .csv (atau json untuk QRadar).

Menyerap data ke Log Dasar Microsoft Sentinel

Untuk menyerap data historis Anda ke dalam Log Dasar Microsoft Sentinel (opsi 2 dalam diagram di atas):

  1. Jika Anda tidak memiliki ruang kerja Analitik Log yang sudah ada, buat ruang kerja baru dan instal Microsoft Sentinel.

  2. Buat Pendaftaran aplikasi untuk autentikasi terhadap API.

  3. Membuat titik akhir kumpulan data. Titik akhir ini bertindak sebagai titik akhir API yang menerima data.

  4. Buat tabel log kustom untuk menyimpan data, dan sediakan sampel data. Dalam langkah ini, Anda juga dapat menentukan transformasi sebelum data diserap.

  5. Kumpulkan informasi dari aturan pengumpulan data dan tetapkan izin ke aturan.

  6. Ubah tabel dari Analitik ke Log Dasar.

  7. Jalankan skrip Penyerapan Log Kustom. Skrip meminta detail berikut:

    • Jalur ke file log untuk diserap
    • ID penyewa Microsoft Entra
    • ID Aplikasi
    • Rahasia aplikasi
    • Titik akhir DCE
    • ID DCR yang tak bisa diubah
    • Nama aliran data dari DCR

    Skrip mengembalikan jumlah peristiwa yang telah dikirim ke ruang kerja.

Menyerap ke Azure Blob Storage

Untuk menyerap data historis Anda ke Azure Blob Storage (opsi 3 dalam diagram di atas):

  1. Instal dan konfigurasikan AzCopy pada sistem tempat Anda mengekspor log. Atau, instal AzCopy pada sistem lain yang memiliki akses ke log yang diekspor.
  2. Buat akun Azure Blob Storage dan salin kredensial ID Microsoft Entra resmi atau token Tanda Tangan Akses Bersama.
  3. Jalankan AzCopy dengan jalur folder yang menyertakan log yang diekspor sebagai sumbernya, dan string koneksi Azure Blob Storage sebagai output.

Langkah berikutnya

Di artikel ini, Anda mempelajari cara menyerap data Anda ke platform target.