Microsoft Sentinel 수집 시 데이터 변환 또는 사용자 지정(미리 보기)

이 문서에서는 Microsoft Sentinel 사용할 수집 시간 데이터 변환 및 사용자 지정 로그 수집을 구성하는 방법을 설명합니다.

수집 시간 데이터 변환을 통해 고객은 수집된 데이터를 더 많이 제어할 수 있습니다. 표준화된 테이블을 만드는 미리 구성된 하드 코딩된 워크플로를 보완하는 수집 시간 변환은 쿼리를 실행하기 전에 출력 테이블을 필터링하고 보강하는 기능을 추가합니다. 사용자 지정 로그 수집은 사용자 지정 로그 API를 사용하여 사용자 지정 형식 로그를 정규화하여 특정 표준 테이블로 수집하거나 사용자 정의 로그를 수집하기 위한 사용자 정의 스키마를 사용하여 사용자 지정 출력 테이블을 만들 수 있습니다.

이러한 두 메커니즘은 Log Analytics 포털 또는 API 또는 ARM 템플릿을 통해 DCR(데이터 수집 규칙)을 사용하여 구성됩니다. 이 문서는 특정 데이터 커넥터에 필요한 DCR 종류를 선택하고 각 시나리오에 대한 지침으로 안내하는 데 도움이 됩니다.

필수 구성 요소

데이터 변환을 위한 DCR 구성을 시작하기 전에 다음을 수행합니다.

요구 사항 확인

수집 중인 경우 수집 시간 변환은... 이 DCR 형식 사용
를 통한 사용자 지정 데이터
로그 수집 API
  • 필수
  • 데이터 모델을 정의하는 DCR에 포함됨
    		•  DCR Standard
    기본 제공 데이터 형식
    (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent)
    Azure Monitor 에이전트 사용
  • 옵션
  • 원하는 경우 이 데이터를 수집하는 방법을 구성하는 DCR에 추가됩니다.
    		•  DCR Standard
    기본 제공 데이터 형식
    대부분의 다른 원본에서
  • 옵션
  • 원하는 경우 이 데이터가 수집되는 작업 영역에 연결된 DCR에 추가됩니다.
    		•  작업 영역 변환 DCR

    데이터 변환 구성

    Log Analytics 및 Azure Monitor 설명서의 다음 절차를 사용하여 데이터 변환 DCR을 구성합니다.

    로그 수집 API를 통한 직접 수집:

    작업 영역 변환:

    데이터 수집 규칙에 대한 자세한 내용:

    완료되면 Microsoft Sentinel 돌아와서 새로 구성된 변환에 따라 데이터가 수집되고 있는지 확인합니다. 데이터 변환 구성이 적용되는 데 최대 60분이 걸릴 수 있습니다.

    수집 시간 데이터 변환으로 마이그레이션

    현재 사용자 지정 Microsoft Sentinel 데이터 커넥터 또는 기본 제공 API 기반 데이터 커넥터가 있는 경우 수집 시간 데이터 변환을 사용하여 로 마이그레이션할 수 있습니다.

    다음 방법 중 하나를 사용합니다.

    • 데이터 원본에서 새 테이블로의 사용자 지정 수집을 처음부터 정의하도록 DCR을 구성합니다. 현재 열 접미사가 없고 데이터를 표준화하기 위해 쿼리 시간 KQL 함수가 필요하지 않은 새 스키마를 사용하려는 경우 이 옵션을 사용할 수 있습니다.

      데이터가 새 테이블에 제대로 수집되었는지 확인한 후 레거시 테이블과 레거시 사용자 지정 데이터 커넥터를 삭제할 수 있습니다.

    • 사용자 지정 데이터 커넥터에서 만든 사용자 지정 테이블을 계속 사용합니다. 기존 테이블에 대해 만든 사용자 지정 보안 콘텐츠가 많은 경우 이 옵션을 사용할 수 있습니다. 이러한 경우 Azure Monitor 설명서에서 데이터 수집기 API 및 사용자 지정 필드 사용 테이블에서 DCR 기반 사용자 지정 로그로 마이그레이션을 참조하세요.

    다음 단계

    데이터 변환 및 DCR에 대한 자세한 내용은 다음을 참조하세요.

    • Last updated on