Microsoft Sentinelのインジェスト時にデータを変換またはカスタマイズする (プレビュー)

この記事では、Microsoft Sentinelで使用するインジェスト時データ変換とカスタム ログ インジェストを構成する方法について説明します。

インジェスト時間データ変換を使用すると、取り込まれたデータをより詳細に制御できます。 標準化されたテーブルを作成する事前に構成されたハードコーディングされたワークフローを補完することで、インジェスト時間変換により、クエリを実行する前であっても、出力テーブルをフィルター処理してエンリッチする機能が追加されます。 カスタム ログ インジェストでは、カスタム ログ API を使用してカスタム形式のログを正規化して、特定の標準テーブルに取り込むことができます。または、カスタム ログを取り込むためのユーザー定義スキーマを使用してカスタマイズされた出力テーブルを作成することもできます。

これら 2 つのメカニズムは、Log Analytics ポータルで、または API または ARM テンプレートを使用して、データ収集規則 (DCR) を使用して構成されます。 この記事では、特定のデータ コネクタに必要な DCR の種類を選択し、各シナリオの手順を説明します。

前提条件

データ変換用の DCR の構成を開始する前に、次の手順を実行します。

• データ変換と DCR の詳細については、Azure Monitor と Microsoft Sentinelを参照してください。 詳細については、以下を参照してください:

  • Azure Monitor のデータ収集ルール
  • Azure モニター ログのインジェスト API をログに記録する (プレビュー)
  • Azure モニター ログの変換 (プレビュー)
  • Microsoft Sentinelでのデータ変換 (プレビュー)

• データ コネクタのサポートを確認します。 データ変換でデータ コネクタがサポートされていることを確認します。

  データ コネクタリファレンス記事で、サポートされている DCR の種類を理解するために、データ コネクタのセクションをチェックします。 この記事を続けて、選択した DCR の種類がインジェストと変換プロセスの残りの部分にどのように影響するかを理解します。

要件を決定する

取り込んでいる場合	インジェスト時変換は...	この DCR 型を使用する
カスタム データ ログ インジェスト API	必須 データ モデルを定義する DCR に含まれる	DCR のStandard
組み込みのデータ型 (Syslog、CommonSecurityLog、WindowsEvent、SecurityEvent) Azure モニター エージェントの使用	省略可能 必要に応じて、このデータの取り込み方法を構成する DCR に追加します	DCR のStandard
組み込みのデータ型 他のほとんどのソースから	省略可能 必要に応じて、このデータが取り込まれているワークスペースにアタッチされている DCR に追加します	ワークスペース変換 DCR

データ変換を構成する

Log Analytics および Azure Monitor ドキュメントの次の手順を使用して、データ変換 DCR を構成します。

ログ インジェスト API を使用した直接インジェスト:

• Azure portalを使用してログを取り込むためのチュートリアルについて説明します。
• Azure Resource Manager (ARM) テンプレートと REST API を使用してログを取り込むチュートリアルについて説明します。

ワークスペース変換:

• Azure portalを使用してワークスペース変換を構成するチュートリアルについて説明します。
• Azure Resource Manager (ARM) テンプレートと REST API を使用してワークスペース変換を構成するチュートリアルについて説明します。

データ収集ルールの詳細:

• Azure Monitor でのデータ収集ルールの構造 (プレビュー)
• Azure Monitor でのデータ収集変換 (プレビュー)

完了したら、Microsoft Sentinelに戻り、新しく構成された変換に基づいてデータが取り込まれていることを確認します。 データ変換構成が適用されるまでに最大 60 分かかる場合があります。

インジェスト時データ変換への移行

現在、カスタム Microsoft Sentinel データ コネクタ、または組み込みの API ベースのデータ コネクタがある場合は、インジェスト時データ変換を使用して に移行できます。

以下のいずれかの方法を実行します。

• データ ソースから新しいテーブルへのカスタム インジェストを最初から定義するように DCR を構成します。 現在の列サフィックスを持たない新しいスキーマを使用し、データを標準化するためにクエリ時間 KQL 関数を必要としない場合は、このオプションを使用できます。

  データが新しいテーブルに適切に取り込まれたことを確認したら、レガシ テーブルとレガシのカスタム データ コネクタを削除できます。

• カスタム データ コネクタによって作成されたカスタム テーブルを引き続き使用します。 既存のテーブル用に多数のカスタム セキュリティ コンテンツが作成されている場合は、このオプションを使用できます。 このような場合は、Azure Monitor ドキュメントの「Data Collector API とカスタム フィールド対応テーブルから DCR ベースのカスタム ログに移行する」を参照してください。

次の手順

データ変換と DCR の詳細については、次を参照してください。

• Microsoft Sentinelでのカスタム データ インジェストと変換 (プレビュー)
• Azure モニター ログでのデータ収集変換 (プレビュー)
• Azure モニター ログのインジェスト API をログに記録する (プレビュー)
• Azure Monitor でのデータ収集ルールの構造 (プレビュー)
• Azure Monitor エージェントのデータ収集を構成する