Inserimento e trasformazione di dati personalizzati in Microsoft Sentinel

Azure Log di monitoraggio funge da piattaforma dati per Microsoft Sentinel. Tutti i log inseriti in Microsoft Sentinel vengono archiviati in un'area di lavoro Log Analytics e le query di log scritte in Linguaggio di query Kusto (KQL) vengono usate per rilevare le minacce e monitorare l'attività di rete.

Log Analytics offre un livello elevato di controllo sui dati che vengono inseriti nell'area di lavoro con regole di inserimento e raccolta dati personalizzate. I controller di dominio consentono di raccogliere e modificare i dati prima di essere archiviati nell'area di lavoro. I controller di dominio formattano e inviano dati sia alle tabelle standard di Log Analytics che alle tabelle personalizzabili per le origini dati che producono formati di log univoci.

Le trasformazioni di filtro e suddivisione possono essere applicate ai dati in fase di inserimento per ridurre il rumore e indirizzare i dati al livello di archiviazione appropriato. Queste trasformazioni non richiedono la creazione di un DCR e sono definite nella pagina di gestione tabelle del Microsoft Sentinel nel portale di Defender. Per altre informazioni, vedere Filtrare e dividere le trasformazioni in Microsoft Sentinel.

strumenti di monitoraggio Azure per l'inserimento di dati personalizzati in Microsoft Sentinel

Microsoft Sentinel usa gli strumenti di monitoraggio Azure seguenti per controllare l'inserimento di dati personalizzati:

• Le trasformazioni vengono definite in DCR e applicano query KQL ai dati in ingresso prima che vengano archiviate nell'area di lavoro. Queste trasformazioni possono filtrare i dati irrilevanti, arricchire i dati esistenti con dati analitici o esterni o mascherare informazioni sensibili o personali.

• L'API di inserimento Log consente di inviare log in formato personalizzato da qualsiasi origine dati all'area di lavoro Log Analytics e di archiviarli in determinate tabelle standard o in tabelle formattate personalizzate create. Si ha il controllo completo sulla creazione di queste tabelle personalizzate, fino a specificare i nomi e i tipi di colonna. L'API usa dcr per definire, configurare e applicare trasformazioni a questi flussi di dati.

Nota

Le aree di lavoro di Log Analytics abilitate per Microsoft Sentinel non sono soggette all'addebito per l'inserimento di filtri di Monitoraggio Azure, indipendentemente dalla quantità di dati filtrati dalla trasformazione. Tuttavia, le trasformazioni in Microsoft Sentinel presentano le stesse limitazioni di monitoraggio di Azure. Per altre informazioni, vedere Limitazioni e considerazioni.

Supporto DCR in Microsoft Sentinel

Le trasformazioni in fase di inserimento vengono definite nelle regole di raccolta dati ,che controllano il flusso di dati in Azure Monitor. I controller di dominio vengono usati dai connettori di Sentinel basati su AMA e dai flussi di lavoro usando l'API di inserimento log. Ogni DCR contiene la configurazione per un determinato scenario di raccolta dati e più connettori o origini possono condividere un singolo DCR.

I dcr di trasformazione dell'area di lavoro supportano flussi di lavoro che altrimenti non usano dcr. I controller di dominio di trasformazione dell'area di lavoro contengono trasformazioni per le tabelle supportate e vengono applicati a tutto il traffico inviato a tale tabella.

Per altre informazioni, vedere:

• Trasformazioni della raccolta dati in Monitoraggio Azure
• API di inserimento dei log nei log di monitoraggio Azure
• Regole di raccolta dati in Monitoraggio Azure

Casi d'uso e scenari di esempio

L'articolo Trasformazioni di esempio in Monitoraggio Azure fornisce una descrizione e query di esempio per scenari comuni che usano trasformazioni in fase di inserimento in monitoraggio Azure. Gli scenari particolarmente utili per Microsoft Sentinel includono:

• Ridurre i costi dei dati. Filtrare la raccolta dati in base a righe o colonne per ridurre i costi di inserimento e archiviazione.

• Normalizzare i dati. Normalizzare i log con il modello ASIM (Advanced Security Information Model) per migliorare le prestazioni delle query normalizzate. Per altre informazioni, vedere Normalizzazione del tempo di inserimento.

• Arricchire i dati. Le trasformazioni in fase di inserimento consentono di migliorare l'analisi arricchendo i dati con colonne aggiuntive aggiunte alla trasformazione KQL configurata. Le colonne aggiuntive possono includere dati analizzati o calcolati da colonne esistenti.

• Rimuovere i dati sensibili. Le trasformazioni del tempo di inserimento possono essere usate per mascherare o rimuovere informazioni personali, ad esempio mascherando tutte le cifre tranne le ultime di un numero di previdenza sociale o di un numero di carta di credito.

Flusso di inserimento dati in Microsoft Sentinel

L'immagine seguente mostra dove la trasformazione dei dati in fase di inserimento entra nel flusso di inserimento dati in Microsoft Sentinel. Questi dati possono essere supportati in tabelle standard o in un set specifico di tabelle personalizzate.

Questa immagine mostra la pipeline cloud, che rappresenta il componente di raccolta dati di Azure Monitor. Altre informazioni sono disponibili insieme ad altri scenari di raccolta dati in Regole di raccolta dati in Monitoraggio Azure.

Microsoft Sentinel raccoglie dati nell'area di lavoro Log Analytics da più origini.

• I dati raccolti dall'endpoint dell'API di inserimento log o dall'agente di monitoraggio Azure vengono elaborati da un DCR specifico che può includere una trasformazione in fase di inserimento.
• I dati dei connettori dati predefiniti vengono elaborati in Log Analytics usando una combinazione di flussi di lavoro hardcoded e trasformazioni in fase di inserimento nel DCR dell'area di lavoro.

Nella tabella seguente viene descritto il supporto di DCR per i tipi di connettore dati Microsoft Sentinel:

Tipo di connettore dati	Supporto DCR
Azure log dell'agente di monitoraggio (AMA), ad esempio: eventi Sicurezza di Windows tramite AMA Eventi inoltrati di Windows Dati CEF Dati syslog	Uno o più controller di dominio associati all'agente
Inserimento diretto tramite l'API di inserimento dei log	DCR specificato nella chiamata API
Connettore dati predefinito basato su API, ad esempio: Connettori dati senza codice	DCR creato per il connettore
Connessioni basate su impostazioni di diagnostica	DCR trasformazione area di lavoro con tabelle di output supportate
Connettori dati predefiniti basati su API, ad esempio: Connettori dati senza codice legacy connettori dati basati su Funzioni di Azure	Attualmente non supportato
Connettori dati predefiniti da servizio a servizio, ad esempio: Microsoft Office 365 Microsoft Entra ID Amazon S3	DCR trasformazione area di lavoro per le tabelle che supportano le trasformazioni

Contenuto correlato

Per altre informazioni, vedere:

• Trasformare o personalizzare i dati in fase di inserimento in Microsoft Sentinel (anteprima)
• Filtrare e dividere le trasformazioni in Microsoft Sentinel
• connettori dati Microsoft Sentinel
• Trovare il connettore dati Microsoft Sentinel