Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Monitor-logboeken fungeert als het gegevensplatform voor Microsoft Sentinel. Alle logboeken die zijn opgenomen in Microsoft Sentinel, worden opgeslagen in een Log Analytics-werkruimteen logboekquery's geschreven in Kusto Query Language (KQL) worden gebruikt om bedreigingen te detecteren en uw netwerkactiviteit te bewaken.
Log Analytics biedt u een hoge mate van controle over de gegevens die in uw werkruimte worden opgenomen met een aangepaste gegevensinvoer en gegevensverzamelingsregels (DCR's). Met DCR's kunt u uw gegevens verzamelen en bewerken voordat deze in uw werkruimte worden opgeslagen. DCR's formatteren en verzenden gegevens naar zowel standaard Log Analytics-tabellen als aanpasbare tabellen voor gegevensbronnen die unieke logboekindelingen produceren.
Azure Monitor-hulpprogramma's voor aangepaste gegevensopname in Microsoft Sentinel
Microsoft Sentinel gebruikt de volgende Azure Monitor-hulpprogramma's om aangepaste gegevensopname te beheren:
transformaties worden gedefinieerd in DCRs en passen KQL-query's toe op binnenkomende gegevens voordat deze worden opgeslagen in uw werkruimte. Deze transformaties kunnen irrelevante gegevens filteren, bestaande gegevens verrijken met analyses of externe gegevens, of gevoelige of persoonlijke gegevens maskeren.
Met de Logboekopname-API kunt u logboeken met aangepaste indeling vanuit elke gegevensbron verzenden naar uw Log Analytics-werkruimte en deze logboeken opslaan in bepaalde standaardtabellen of in tabellen met aangepaste indeling die u maakt. U hebt volledige controle over het maken van deze aangepaste tabellen, totdat u de kolomnamen en -typen opgeeft. De API maakt gebruik van DCR's voor het definiëren, configureren en toepassen van transformaties op deze gegevensstromen.
Notitie
Log Analytics-werkruimten die zijn ingeschakeld voor Microsoft Sentinel, zijn niet onderworpen aan de kosten voor het filteren van gegevensinname in Azure Monitor , ongeacht de hoeveelheid gegevens die door de transformatiefilters worden gefilterd. Transformaties in Microsoft Sentinel hebben echter dezelfde beperkingen als Azure Monitor. Zie Beperkingen en overwegingenvoor meer informatie.
DCR-ondersteuning in Microsoft Sentinel
Opname-tijdtransformaties worden gedefinieerd in regels voor gegevensverzameling (DCR's), waarmee de gegevensstroom in Azure Monitor wordt beheerd. DCRs worden gebruikt door op AMA gebaseerde Sentinel-connectors en -werkstromen die gebruikmaken van de logboekopname-API. Elke DCR bevat de configuratie voor een bepaald scenario voor gegevensverzameling en meerdere connectors of bronnen kunnen één DCR delen.
DCR's voor werkruimtetransformatie werkstromen ondersteunen die anders geen DCR's gebruiken. DCR's voor werkruimtetransformatie bevatten transformaties voor alle ondersteunde tabellen en worden toegepast op al het verkeer dat naar die tabel wordt verzonden.
Zie voor meer informatie:
- Transformaties van gegevensverzameling in Azure Monitor
- Logboekopname-API in Azure Monitor-logboeken
- Regels voor gegevensverzameling in Azure Monitor
Toepassingen en voorbeeldscenario's
Het artikel Voorbeeldtransformaties in Azure Monitor bevat beschrijvings- en voorbeeldquery's voor veelvoorkomende scenario's met behulp van opnametijdtransformaties in Azure Monitor. Scenario's die met name handig zijn voor Microsoft Sentinel zijn onder andere:
Gegevenskosten verlagen. Filter gegevensverzameling op rijen of kolommen om de opname- en opslagkosten te verlagen.
gegevens normaliseren. Normaliseer logboeken met de Advanced Security Information Model (ASIM) om de prestaties van genormaliseerde query's te verbeteren. Voor meer informatie, zie Opnametijdnormalisatie.
Gegevens verrijken. Met opname-tijdtransformaties kunt u analyses verbeteren door uw gegevens te verrijken met extra kolommen die zijn toegevoegd aan de geconfigureerde KQL-transformatie. Extra kolommen kunnen geparseerde of berekende gegevens uit bestaande kolommen bevatten.
gevoelige gegevens verwijderen. Opname-tijdtransformaties kunnen worden gebruikt om persoonlijke gegevens te maskeren of te verwijderen, zoals het maskeren van alle cijfers behalve de laatste van een burgerservicenummer of creditcardnummer.
Gegevensopnamestroom in Microsoft Sentinel
Op de volgende afbeelding ziet u waar opnametijd gegevens transformatie in de gegevensopnamestroom van Microsoft Sentinel terechtkomt. Deze gegevens kunnen worden ondersteund voor standaardtabellen of in een specifieke set aangepaste tabellen.
In deze afbeelding ziet u de cloudpijplijn, die het gegevensverzamelingsonderdeel van Azure Monitor vertegenwoordigt. Meer informatie hierover vindt u samen met andere scenario's voor gegevensverzameling in Regels voor gegevensverzameling (DCR's) in Azure Monitor.
Microsoft Sentinel verzamelt gegevens in de Log Analytics-werkruimte uit meerdere bronnen.
- gegevens die zijn verzameld uit het api-eindpunt voor logboekopname of AMA (Azure Monitor-agent) worden verwerkt door een specifieke DCR die een opnametijdtransformatie kan bevatten.
- Gegevens van ingebouwde gegevensconnectors worden verwerkt in Log Analytics met behulp van een combinatie van vastgelegde werkstromen en opnametijdtransformaties in de werkruimte DCR.
In de volgende tabel wordt DCR-ondersteuning beschreven voor microsoft Sentinel-gegevensconnectortypen:
| Type gegevensconnector | DCR-ondersteuning |
|---|---|
|
AMA-logboeken (Azure Monitor-agent), zoals: |
Een of meer DCR's die zijn gekoppeld aan de agent |
| Directe opname via logboekopname-API | DCR opgegeven in API-aanroep |
|
Ingebouwde, op API gebaseerde gegevensconnector, zoals: |
DCR gemaakt voor connector |
| Verbindingen op basis van diagnostische instellingen | DCR voor werkruimtetransformatie met ondersteunde uitvoertabellen |
|
Ingebouwde, op API gebaseerde gegevensconnectors, zoals: |
Wordt momenteel niet ondersteund |
|
Ingebouwde gegevensconnectors voor services, zoals: |
DCR voor werkruimtetransformatie voor tabellen die ondersteuning bieden voor transformaties |
Gerelateerde inhoud
Zie voor meer informatie: