다음을 통해 공유

Microsoft Sentinel(미리 보기)에서 수집 시 데이터 변환 또는 사용자 지정

  • 아티클

이 문서에서는 Microsoft Sentinel에서 사용할 수집 시간 데이터 변환 및 사용자 지정 로그 수집을 구성하는 방법을 설명합니다.

수집 시간 데이터 변환을 통해 고객은 수집된 데이터를 더 잘 제어할 수 있습니다. 표준화된 테이블을 만드는 사전 구성된 하드코딩된 워크플로를 보완하는 수집 시간 변환은 쿼리를 실행하기 전에도 출력 테이블을 필터링하고 보강하는 기능을 추가합니다. 사용자 지정 로그 수집은 사용자 지정 로그 API를 사용하여 사용자 지정 형식 로그를 정규화하여 특정 표준 테이블로 수집하거나 이러한 사용자 지정 로그를 수집하기 위한 사용자 지정 스키마로 사용자 지정 출력 테이블을 만들 수 있도록 합니다.

이 두 메커니즘은 Log Analytics 포털에서 또는 API 또는 ARM 템플릿을 통해 DCR(데이터 수집 규칙)을 사용하여 구성됩니다. 이 문서에서는 특정 데이터 커넥터에 필요한 DCR 종류를 선택하고 각 시나리오에 대한 지침을 안내합니다.

필수 조건

데이터 변환을 위한 DCR 구성을 시작하기 전에:

요구 사항 결정

수집 중인 경우 수집 시간 변환 ... 이 DCR 형식 사용
사용자 지정 데이터 -
로그 수집 API
  • Required
  • 데이터 모델을 정의하는 DCR에 포함
    		•  표준 DCR
    기본 제공 데이터 형식
    (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent)
    레거시 Log Analytics 에이전트(MMA) 사용
  • 선택 사항
  • 원하는 경우 이 데이터가 수집되는 작업 영역에 연결된 DCR에 추가됩니다.
    		•  작업 영역 변환 DCR
    기본 제공 데이터 형식
    대부분의 다른 원본에서
  • 선택 사항
  • 원하는 경우 이 데이터가 수집되는 작업 영역에 연결된 DCR에 추가됩니다.
    		•  작업 영역 변환 DCR

    데이터 변환 구성

    Log Analytics 및 Azure Monitor 설명서에서 다음 절차를 사용하여 데이터 변환 DCR을 구성합니다.

    로그 수집 API를 통한 직접 수집:

    작업 영역 변환:

    데이터 수집 규칙에 대한 추가 정보:

    완료되면 Microsoft Sentinel로 돌아가서 새로 구성된 변환을 기반으로 데이터가 수집되고 있는지 확인합니다. 데이터 변환 구성을 적용하는 데 최대 60분이 걸립니다.

    수집 시간 데이터 변환으로 마이그레이션

    현재 사용자 지정 Microsoft Sentinel 데이터 커넥터 또는 기본 제공 API 기반 데이터 커넥터가 있는 경우 수집 시간 데이터 변환을 사용하도록 마이그레이션할 수 있습니다.

    다음 방법 중 하나를 사용하십시오.

    • 데이터 원본에서 새 테이블로 사용자 지정 수집을 처음부터 정의하도록 DCR을 구성합니다. 현재 열 접미사가 없고 데이터를 표준화하기 위해 쿼리 시간 KQL 함수가 필요하지 않은 새 스키마를 사용하려는 경우 이 옵션을 사용할 수 있습니다.

      데이터가 새 테이블에 제대로 수집되었는지 확인한 후 레거시 테이블과 레거시 사용자 지정 데이터 커넥터를 삭제할 수 있습니다.

    • 사용자 지정 데이터 커넥터에서 만든 사용자 지정 테이블을 계속 사용합니다. 기존 테이블에 대해 만들어진 사용자 지정 보안 콘텐츠가 많은 경우 이 옵션을 사용할 수 있습니다. 이러한 경우 Azure Monitor 설명서에서 데이터 수집기 API 및 사용자 지정 필드 사용 테이블에서 DCR 기반 사용자 지정 로그로 마이그레이션을 참조하세요.

    다음 단계

    데이터 변환 및 DCR에 대한 자세한 내용은 다음을 참조하세요.