Trasformare o personalizzare i dati in fase di inserimento in Microsoft Sentinel (anteprima)

Questo articolo descrive come configurare la trasformazione dei dati in fase di inserimento e l'inserimento di log personalizzato per l'uso in Microsoft Sentinel.

La trasformazione dei dati in fase di inserimento offre ai clienti un maggiore controllo sui dati inseriti. Integrando i flussi di lavoro preconfigurati e hardcoded che creano tabelle standardizzate, la trasformazione del tempo di inserimento aggiunge la possibilità di filtrare e arricchire le tabelle di output, anche prima di eseguire query. L'inserimento di log personalizzati usa l'API Log personalizzato per normalizzare i log in formato personalizzato in modo che possano essere inseriti in determinate tabelle standard, o in alternativa per creare tabelle di output personalizzate con schemi definiti dall'utente per l'inserimento di tali log.

Questi due meccanismi vengono configurati usando regole di raccolta dati (DCR), nel portale di Log Analytics o tramite l'API o il modello di Resource Manager. Questo articolo consente di scegliere il tipo di DCR necessario per il connettore dati specifico e di indirizzare le istruzioni per ogni scenario.

Prerequisiti

Prima di iniziare a configurare le DCR per la trasformazione dei dati:

• Altre informazioni sulla trasformazione dei dati e sulle DCR in Monitoraggio di Azure e Microsoft Sentinel. Per altre informazioni, vedi:

  • Regole di raccolta dati in Monitoraggio di Azure
  • API di inserimento dei log in Log di Monitoraggio di Azure (anteprima)
  • Trasformazioni nei log di Monitoraggio di Azure (anteprima)
  • Trasformazione dei dati in Microsoft Sentinel (anteprima)

• Verificare il supporto del connettore dati. Assicurarsi che i connettori dati siano supportati per la trasformazione dei dati.

  Nell'articolo di riferimento al connettore dati, vedere la sezione relativa al connettore dati per comprendere quali tipi di DCR sono supportate. Continuare la lettura di questo articolo per comprendere in che modo il tipo di DCR selezionato influisce sul resto del processo di inserimento e trasformazione.

Determinare i requisiti

In caso di inserimento	La trasformazione in fase di inserimento è...	Usare questo tipo di DCR
Dati personalizzati tramite l'API di inserimento log	Richiesto Incluso nella DCR che definisce il modello di dati	DCR standard
Tipi di dati predefiniti (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) uso dell'agente di Monitoraggio di Azure	Facoltativo Se necessario, aggiunto al DCR che configura la modalità di inserimento di questi dati	DCR standard
Tipi di dati predefiniti dalla maggior parte delle altre origini	Facoltativo Se necessario, aggiunto alla DCR collegata all'area di lavoro in cui vengono inseriti questi dati	Regole di raccolta dati per la trasformazione dell'area di lavoro

Configurare la trasformazione dei dati

Usare le procedure seguenti della documentazione di Log Analytics e Monitoraggio di Azure per configurare le DCR di trasformazione dei dati:

Inserimento diretto tramite l'API di inserimento log:

• Esercitazione guidata per l'inserimento di log tramite il portale di Azure.
• Esercitazione guidata per l'inserimento di log usando i modelli di Azure Resource Manager (ARM) e l'API REST.

Trasformazioni dell'area di lavoro:

• Esercitazione guidata per configurare la trasformazione dell'area di lavoro usando il portale di Azure.
• Esercitazione guidata per configurare la trasformazione dell'area di lavoro usando i modelli di Azure Resource Manager (ARM) e l'API REST.-

Altre informazioni sulle regole di raccolta dati:

• Struttura di una regola di raccolta dati in Monitoraggio di Azure (anteprima)
• Trasformazioni della raccolta dati in Monitoraggio di Azure (anteprima)

Al termine, tornare a Microsoft Sentinel per verificare che i dati vengano inseriti in base alla trasformazione appena configurata. L'applicazione delle configurazioni della trasformazione dei dati può richiedere fino a 60 minuti.

Eseguire la migrazione alla trasformazione dei dati in fase di inserimento

Se attualmente si dispone di connettori dati personalizzati di Microsoft Sentinel o connettori dati basati su API predefiniti, è possibile eseguire la migrazione tramite la trasformazione dei dati in fase di inserimento.

Usa uno dei seguenti metodi:

• Configurare un DCR per definire, da zero, l'inserimento personalizzato dall'origine dati a una nuova tabella. È possibile usare questa opzione se si vuole usare un nuovo schema che non dispone dei suffissi delle colonne correnti e non richiede funzioni KQL in fase di query per standardizzare i dati.

  Dopo aver verificato che i dati vengano inseriti correttamente nella nuova tabella, è possibile eliminare la tabella legacy, nonché il connettore dati personalizzato legacy.

• Continuare a usare la tabella personalizzata creata dal connettore dati personalizzato. È possibile usare questa opzione se sono stati creati numerosi contenuti di sicurezza personalizzati per la tabella esistente. In questi casi, vedere Eseguire la migrazione da tabelle abilitate per l'API dell'agente di raccolta dati e campi personalizzati a log personalizzati basati su regole di raccolta dati nella documentazione di Monitoraggio di Azure.

Passaggi successivi

Per ulteriori informazioni sulla trasformazione dei dati e sui DCR, vedere:

• Inserimento e trasformazione dei dati personalizzati in Microsoft Sentinel (anteprima)
• Trasformazioni della raccolta dati nei log di Monitoraggio di Azure (anteprima)
• API di inserimento dei log in Log di Monitoraggio di Azure (anteprima)
• Struttura di una regola di raccolta dati in Monitoraggio di Azure (anteprima)
• Configurare la raccolta dati per l'agente di Monitoraggio di Azure