次の方法で共有

Microsoft Sentinel で取り込み時にデータを変換またはカスタマイズする (プレビュー)

  • [アーティクル]

この記事では、Microsoft Sentinel で使用できるように、取り込み時のデータ変換とカスタム ログ インジェストを構成する方法について説明します。

取り込み時のデータ変換を使用すると、顧客は、取り込まれたデータをより詳細に制御できます。 取り込み時の変換により、標準化されたテーブルを作成する事前構成済みのハードコードされたワークフローが補完され、クエリを実行する前でも出力テーブルをフィルター処理して強化する機能が追加されます。 カスタム ログ インジェストでは、カスタム ログ API を使用してカスタム形式のログを正規化するので、特定の標準テーブルに取り込むか、またはこれらのカスタム ログを取り込むためのユーザー定義のスキーマでカスタマイズした出力テーブルを作成できます。

これら 2 つのメカニズムは、データ収集ルール (DCR) を Log Analytics ポータル内で使用するか、API または ARM テンプレートから使用して構成されます。 この記事では、特定のデータ コネクタに必要な DCR の種類を選択できるようにし、各シナリオの手順を説明します。

前提条件

データ変換用に DCR の構成を開始する前に、次の手順を実行します。

要件を特定する

取り込む対象 取り込み時の変換の設定 使用する DCR の種類
次を使用したカスタム データ:
Log Ingestion API
  • 必須
  • データ モデルを定義する DCR に含まれる
    		•  標準 DCR
    組み込みのデータ型
    (Syslog、CommonSecurityLog、WindowsEvent、SecurityEvent)
    Azure Monitor エージェントを使用する
  • 省略可能
  • 必要に応じて、このデータの取り込み方法を構成する DCR に追加
    		•  標準 DCR
    組み込みのデータ型
    他のほとんどのソースからの
  • オプション
  • 必要に応じて、このデータが取り込まれるワークスペースにアタッチされている DCR に追加される
    		•  ワークスペース変換 DCR

    データ変換を構成する

    Log Analytics および Azure Monitor ドキュメントの次の手順を使用して、データ変換 DCR を構成します。

    Log Ingestion API を使用した直接インジェスト:

    ワークスペース変換:

    データ収集ルールの詳細:

    完了したら、Microsoft Sentinel に戻り、新しく構成された変換に基づいてデータが取り込まれていることを確認します。 データ変換の構成が適用されるまで、最大で 60 分かかる場合があります。

    取り込み時のデータ変換に移行する

    現在、カスタムの Microsoft Sentinel データ コネクタか、組み込みの API ベースのデータ コネクタがある場合は、取り込み時のデータ変換の使用に移行できます。

    以下のいずれかの方法を使用します。

    • データ ソースから新しいテーブルへのカスタム インジェストを最初から定義する DCR を構成します。 現在の列サフィックスを持たない新しいスキーマを使用し、データを標準化するためにクエリ時の KQL 関数を必要としない場合は、このオプションを使用できます。

      データが新しいテーブルに適切に取り込まれたことを確認したら、従来のテーブルと従来のカスタム データ コネクタを削除できます。

    • カスタム データ コネクタによって作成されたカスタム テーブルを引き続き使用します。 既存のテーブル用に作成されたカスタム セキュリティ コンテンツが多い場合は、このオプションを使用できます。 このような場合は、Azure Monitor のドキュメントでデータ コレクター API およびカスタム フィールド対応テーブルから DCR ベースのカスタム ログへの移行に関するページを参照してください。

    次のステップ

    データ変換と DCR の詳細については、以下を参照してください。