Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come configurare la trasformazione dei dati in fase di inserimento e l'inserimento di log personalizzato per l'uso in Microsoft Sentinel.
La trasformazione dei dati in fase di inserimento offre ai clienti un maggiore controllo sui dati inseriti. Integrando i flussi di lavoro pre-configurati e hardcoded che creano tabelle standardizzate, la trasformazione del tempo di inserimento aggiunge la funzionalità per filtrare e arricchire le tabelle di output, anche prima di eseguire qualsiasi query. L'inserimento di log personalizzato usa l'API log personalizzato per normalizzare i log in formato personalizzato in modo che possano essere inseriti in determinate tabelle standard o, in alternativa, per creare tabelle di output personalizzate con schemi definiti dall'utente per l'inserimento di questi log personalizzati.
Questi due meccanismi vengono configurati usando le regole di raccolta dati (DCR), nel portale di Log Analytics o tramite il modello API o ARM. Questo articolo consente di scegliere il tipo di DCR necessario per il connettore dati specifico e di indirizzare l'utente alle istruzioni per ogni scenario.
Prerequisiti
Prima di iniziare a configurare dcr per la trasformazione dei dati:
Altre informazioni sulla trasformazione dei dati e sui controller di dominio in monitoraggio e Microsoft Sentinel Azure. Per altre informazioni, vedere:
Verificare il supporto del connettore dati. Assicurarsi che i connettori dati siano supportati per la trasformazione dei dati.
Nell'articolo di riferimento sul connettore dati controllare la sezione relativa al connettore dati per comprendere quali tipi di controller di dominio sono supportati. Continuare in questo articolo per comprendere in che modo il tipo DCR selezionato influisce sul resto del processo di inserimento e trasformazione.
Determinare i requisiti
| Se si sta eseguendo l'inserimento | La trasformazione in fase di inserimento è... | Usare questo tipo DCR |
|---|---|---|
|
Dati personalizzati tramite L'API di inserimento log |
Standard DCR | |
|
Tipi di dati predefiniti (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) uso dell'agente di monitoraggio Azure |
Standard DCR | |
|
Tipi di dati predefiniti dalla maggior parte delle altre origini |
DCR trasformazione area di lavoro |
Configurare la trasformazione dei dati
Usare le procedure seguenti della documentazione di Log Analytics e monitoraggio Azure per configurare i controller di dominio di trasformazione dati:
Inserimento diretto tramite l'API Di inserimento log:
- Seguire un'esercitazione per inserire i log usando il portale di Azure.
- Esercitazione per l'inserimento di log con i modelli di Azure Resource Manager (ARM) e l'API REST.
Trasformazioni dell'area di lavoro:
- Seguire un'esercitazione per configurare la trasformazione dell'area di lavoro usando il portale di Azure.
- Esercitazione per la configurazione della trasformazione dell'area di lavoro con modelli di Azure Resource Manager (ARM) e API REST.
Altre informazioni sulle regole di raccolta dati:
- Struttura di una regola di raccolta dati in monitoraggio Azure (anteprima)
- Trasformazioni della raccolta dati in Monitoraggio Azure (anteprima)
Al termine, tornare a Microsoft Sentinel per verificare che i dati vengano inseriti in base alla trasformazione appena configurata. L'applicazione delle configurazioni di trasformazione dati può richiedere fino a 60 minuti.
Eseguire la migrazione alla trasformazione dei dati in fase di inserimento
Se attualmente si dispone di connettori dati personalizzati Microsoft Sentinel o di connettori dati predefiniti basati su API, è possibile eseguire la migrazione a usando la trasformazione dei dati in fase di inserimento.
utilizzando uno dei metodi seguenti:
Configurare un DCR per definire, da zero, l'inserimento personalizzato dall'origine dati a una nuova tabella. È possibile usare questa opzione se si vuole usare un nuovo schema che non dispone dei suffissi di colonna correnti e non richiede funzioni KQL in tempo di query per standardizzare i dati.
Dopo aver verificato che i dati vengono inseriti correttamente nella nuova tabella, è possibile eliminare la tabella legacy e il connettore dati personalizzato legacy.
Continuare a usare la tabella personalizzata creata dal connettore dati personalizzato. È possibile usare questa opzione se sono stati creati molti contenuti di sicurezza personalizzati per la tabella esistente. In questi casi, vedere Eseguire la migrazione dall'API agente di raccolta dati e le tabelle personalizzate abilitate per i campi ai log personalizzati basati su DCR nella documentazione di Monitoraggio Azure.
Passaggi successivi
Per altre informazioni sulla trasformazione dei dati e sui dcr, vedere:
- Inserimento e trasformazione di dati personalizzati in Microsoft Sentinel (anteprima)
- Trasformazioni della raccolta dati nei log di monitoraggio Azure (anteprima)
- API di inserimento dei log nei log di monitoraggio Azure (anteprima)
- Struttura di una regola di raccolta dati in monitoraggio Azure (anteprima)
- Configurare la raccolta dati per l'agente di monitoraggio Azure