Gegevens tijdens opnametijd transformeren of aanpassen in Microsoft Sentinel (preview)

In dit artikel wordt beschreven hoe u gegevenstransformatie en aangepaste logboekopname configureert voor gebruik in Microsoft Sentinel.

Gegevenstransformatie voor opnametijd biedt klanten meer controle over de opgenomen gegevens. Als aanvulling op de vooraf geconfigureerde, vastgelegde werkstromen die gestandaardiseerde tabellen maken, voegt de opnametijdtransformatie de mogelijkheid toe om de uitvoertabellen te filteren en te verrijken, zelfs voordat u query's uitvoert. Aangepaste logboekopname maakt gebruik van de Aangepaste logboek-API om logboeken met aangepaste indeling te normaliseren, zodat ze kunnen worden opgenomen in bepaalde standaardtabellen, of als alternatief om aangepaste uitvoertabellen te maken met door de gebruiker gedefinieerde schema's voor het opnemen van deze aangepaste logboeken.

Deze twee mechanismen worden geconfigureerd met behulp van gegevensverzamelingsregels (DCR's), hetzij in de Log Analytics-portal, hetzij via API of ARM-sjabloon. Dit artikel helpt u bij het kiezen van het type DCR dat u nodig hebt voor uw specifieke gegevensconnector en stuurt u naar de instructies voor elk scenario.

Vereisten

Voordat u DCR's gaat configureren voor gegevenstransformatie:

• Meer informatie over gegevenstransformatie en DCR's in Azure Monitor en Microsoft Sentinel. Zie voor meer informatie:

  • Regels voor gegevensverzameling in Azure Monitor
  • Logboekopname-API in Azure Monitor-logboeken (preview)
  • Transformaties in Azure Monitor-logboeken (preview)
  • Gegevenstransformatie in Microsoft Sentinel (preview)

• Controleer de ondersteuning van de gegevensconnector. Zorg ervoor dat uw gegevensconnectors worden ondersteund voor gegevenstransformatie.

  Raadpleeg in ons naslagartikel over de gegevensconnector de sectie voor uw gegevensconnector om te begrijpen welke typen DCR's worden ondersteund. Ga verder in dit artikel om te begrijpen hoe het DCR-type dat u selecteert van invloed is op de rest van het opname- en transformatieproces.

Uw vereisten bepalen

Als u gegevens opneemt	Opnametijdtransformatie is...	Dit DCR-type gebruiken
Aangepaste gegevens via de API voor logboekopname	Vereist Opgenomen in de DCR die het gegevensmodel definieert	Standard DCR
Ingebouwde gegevenstypen (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) met behulp van de verouderde Log Analytics-agent (MMA)	Optioneel Indien gewenst, toegevoegd aan de DCR die is gekoppeld aan de werkruimte waar deze gegevens worden opgenomen	DCR voor werkruimtetransformatie
Ingebouwde gegevenstypen uit de meeste andere bronnen	Optioneel Indien gewenst, toegevoegd aan de DCR die is gekoppeld aan de werkruimte waar deze gegevens worden opgenomen	DCR voor werkruimtetransformatie

Uw gegevenstransformatie configureren

Gebruik de volgende procedures uit de Documentatie van Log Analytics en Azure Monitor om uw DCR's voor gegevenstransformatie te configureren:

Directe opname via de API voor logboekopname:

• Doorloop een zelfstudie voor het opnemen van logboeken met behulp van Azure Portal.
• Doorloop een zelfstudie voor het opnemen van logboeken met behulp van ARM-sjablonen (Azure Resource Manager) en REST API.

Werkruimtetransformaties:

• Doorloop een zelfstudie voor het configureren van werkruimtetransformatie met behulp van Azure Portal.
• Doorloop een zelfstudie voor het configureren van werkruimtetransformatie met behulp van ARM-sjablonen (Azure Resource Manager) en REST API.-

Meer informatie over regels voor gegevensverzameling:

• Structuur van een regel voor gegevensverzameling in Azure Monitor (preview)
• Transformaties van gegevensverzameling in Azure Monitor (preview)

Wanneer u klaar bent, gaat u terug naar Microsoft Sentinel om te controleren of uw gegevens worden opgenomen op basis van uw zojuist geconfigureerde transformatie. Het kan tot 60 minuten duren voordat de configuraties voor gegevenstransformatie zijn toegepast.

Migreren naar gegevenstransformatie voor opnametijd

Als u momenteel aangepaste Microsoft Sentinel-gegevensconnectors of ingebouwde, op API's gebaseerde gegevensconnectors hebt, kunt u migreren naar het gebruik van gegevenstransformatie voor opnametijd.

Hanteer één van de volgende methoden:

• Configureer een DCR voor het definiëren van de aangepaste opname van uw gegevensbron naar een nieuwe tabel. U kunt deze optie gebruiken als u een nieuw schema wilt gebruiken dat niet beschikt over de huidige kolomachtervoegsels en geen KQL-functies voor querytijd nodig heeft om uw gegevens te standaardiseren.

  Nadat u hebt gecontroleerd of uw gegevens correct zijn opgenomen in de nieuwe tabel, kunt u de verouderde tabel en de verouderde, aangepaste gegevensconnector verwijderen.

• Ga door met het gebruik van de aangepaste tabel die is gemaakt door uw aangepaste gegevensconnector. U kunt deze optie gebruiken als u veel aangepaste beveiligingsinhoud hebt gemaakt voor uw bestaande tabel. In dergelijke gevallen raadpleegt u Migrate from Data Collector API and custom fields-enabled tables to DCR-based custom logs in the Azure Monitor documentation.

Volgende stappen

Zie voor meer informatie over gegevenstransformatie en DCR's:

• Aangepaste gegevensopname en -transformatie in Microsoft Sentinel (preview)
• Transformaties voor gegevensverzameling in Azure Monitor-logboeken (preview)
• Logboekopname-API in Azure Monitor-logboeken (preview)
• Structuur van een regel voor gegevensverzameling in Azure Monitor (preview)
• Gegevensverzameling configureren voor de Azure Monitor-agent