Trasformare o personalizzare i dati in fase di inserimento in Microsoft Sentinel (anteprima)
Questo articolo descrive come configurare la trasformazione dei dati in fase di inserimento e l'inserimento di log personalizzato per l'uso in Microsoft Sentinel.
La trasformazione dei dati in fase di inserimento offre ai clienti un maggiore controllo sui dati inseriti. Integrando i flussi di lavoro preconfigurati e hardcoded che creano tabelle standardizzate, la trasformazione del tempo di inserimento aggiunge la possibilità di filtrare e arricchire le tabelle di output, anche prima di eseguire query. L'inserimento di log personalizzato usa l'API Log personalizzato per normalizzare i log in formato personalizzato in modo che possano essere inseriti in determinate tabelle standard o in alternativa per creare tabelle di output personalizzate con schemi definiti dall'utente per l'inserimento di questi log personalizzati.
Questi due meccanismi vengono configurati usando regole di raccolta dati (DCR), nel portale di Log Analytics o tramite l'API o il modello di Resource Manager. Questo articolo consente di scegliere il tipo di DCR necessario per il connettore dati specifico e di indirizzare le istruzioni per ogni scenario.
Prerequisiti
Prima di iniziare a configurare controller di dominio per la trasformazione dei dati:
Altre informazioni sulla trasformazione dei dati e sui controller di dominio in Monitoraggio di Azure e Microsoft Sentinel. Per altre informazioni, vedi:
Verificare il supporto del connettore dati. Assicurarsi che i connettori dati siano supportati per la trasformazione dei dati.
Nell'articolo di riferimento sul connettore dati controllare la sezione relativa al connettore dati per comprendere quali tipi di controller di dominio sono supportati. Continuare in questo articolo per comprendere in che modo il tipo DCR selezionato influisce sul resto del processo di inserimento e trasformazione.
Determinare i requisiti
Se si sta inseriscendo | La trasformazione in fase di inserimento è... | Usare questo tipo di record di dominio |
---|---|---|
Dati personalizzati tramite API di inserimento log |
Record di dominio standard | |
Tipi di dati predefiniti (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) uso dell'agente di Log Analytics legacy (MMA) |
Regole di raccolta dati per la trasformazione dell'area di lavoro | |
Tipi di dati predefiniti dalla maggior parte delle altre fonti |
Regole di raccolta dati per la trasformazione dell'area di lavoro |
Configurare la trasformazione dei dati
Usare le procedure seguenti della documentazione di Log Analytics e Monitoraggio di Azure per configurare i controller di dominio di trasformazione dei dati:
Inserimento diretto tramite l'API di inserimento log:
- Esaminare un'esercitazione per l'inserimento di log usando il portale di Azure.
- Esaminare un'esercitazione per l'inserimento di log usando i modelli di Azure Resource Manager (ARM) e l'API REST.
Trasformazioni dell'area di lavoro:
- Esaminare un'esercitazione per configurare la trasformazione dell'area di lavoro usando il portale di Azure.
- Eseguire un'esercitazione per configurare la trasformazione dell'area di lavoro usando i modelli di Azure Resource Manager (ARM) e l'API REST.
Altre informazioni sulle regole di raccolta dati:
- Struttura di una regola di raccolta dati in Monitoraggio di Azure (anteprima)
- Trasformazioni della raccolta dati in Monitoraggio di Azure (anteprima)
Al termine, tornare a Microsoft Sentinel per verificare che i dati vengano inseriti in base alla trasformazione appena configurata. L'applicazione delle configurazioni della trasformazione dei dati può richiedere fino a 60 minuti.
Eseguire la migrazione alla trasformazione dei dati in fase di inserimento
Se attualmente si dispone di connettori dati personalizzati di Microsoft Sentinel o connettori dati basati su API predefiniti, è possibile eseguire la migrazione tramite la trasformazione dei dati in fase di inserimento.
Usa uno dei seguenti metodi:
Configurare un DCR per definire, da zero, l'inserimento personalizzato dall'origine dati a una nuova tabella. È possibile usare questa opzione se si vuole usare un nuovo schema che non dispone dei suffissi di colonna correnti e non richiede funzioni KQL in fase di query per standardizzare i dati.
Dopo aver verificato che i dati vengono inseriti correttamente nella nuova tabella, è possibile eliminare la tabella legacy, nonché il connettore dati personalizzato legacy.
Continuare a usare la tabella personalizzata creata dal connettore dati personalizzato. È possibile usare questa opzione se sono stati creati numerosi contenuti di sicurezza personalizzati per la tabella esistente. In questi casi, vedere Eseguire la migrazione dall'API dell'agente di raccolta dati e dalle tabelle personalizzate abilitate ai log personalizzati basati su DCR nella documentazione di Monitoraggio di Azure.
Passaggi successivi
Per altre informazioni sulla trasformazione dei dati e sui controller di dominio, vedere:
- Inserimento e trasformazione dei dati personalizzati in Microsoft Sentinel (anteprima)
- Trasformazioni della raccolta dati nei log di Monitoraggio di Azure (anteprima)
- API di inserimento dei log in Log di Monitoraggio di Azure (anteprima)
- Struttura di una regola di raccolta dati in Monitoraggio di Azure (anteprima)
- Configurare la raccolta dati per l'agente di Monitoraggio di Azure