Historische gegevens opnemen in uw doelplatform

Artikel
05/17/2024

In eerdere artikelen hebt u een doelplatform geselecteerd voor uw historische gegevens. U hebt ook een hulpprogramma geselecteerd om uw gegevens over te dragen en de historische gegevens op te slaan op een faseringslocatie. U kunt nu beginnen met het opnemen van de gegevens in het doelplatform.

In dit artikel wordt beschreven hoe u uw historische gegevens opneemt in uw geselecteerde doelplatform.

Gegevens exporteren uit de verouderde SIEM

Over het algemeen kunnen SIEM's gegevens exporteren of dumpen naar een bestand in uw lokale bestandssysteem, zodat u deze methode kunt gebruiken om de historische gegevens te extraheren. Het is ook belangrijk om een faseringslocatie in te stellen voor uw geëxporteerde bestanden. Het hulpprogramma dat u gebruikt om de gegevensopname over te dragen, kan de bestanden van de faseringslocatie naar het doelplatform kopiëren.

In dit diagram ziet u het export- en opnameproces op hoog niveau.

Zie een van de volgende secties om gegevens uit uw huidige SIEM te exporteren:

Opnemen in Azure Data Explorer

Als u uw historische gegevens wilt opnemen in Azure Data Explorer (ADX) (optie 1 in het bovenstaande diagram):

Installeer en configureer LightIngest op het systeem waar logboeken worden geëxporteerd of installeer LightIngest op een ander systeem dat toegang heeft tot de geëxporteerde logboeken. LightIngest ondersteunt alleen Windows.
Als u geen bestaand ADX-cluster hebt, maakt u een nieuw cluster en kopieert u de verbindingsreeks. Meer informatie over het instellen van ADX.
Maak in ADX tabellen en definieer een schema voor de CSV- of JSON-indeling (voor QRadar). Meer informatie over het maken van een tabel en het definiëren van een schema met voorbeeldgegevens of zonder voorbeeldgegevens.
Voer LightIngest uit met het mappad dat de geëxporteerde logboeken als pad bevat en de ADX-verbindingsreeks als uitvoer. Wanneer u LightIngest uitvoert, moet u ervoor zorgen dat u de naam van de ADX-doeltabel opgeeft, waarop het argumentpatroon is ingesteld *.csven dat de indeling is ingesteld .csv op (of json voor QRadar).

Gegevens opnemen in basislogboeken van Microsoft Sentinel

Als u uw historische gegevens wilt opnemen in basislogboeken van Microsoft Sentinel (optie 2 in het bovenstaande diagram):

Als u geen bestaande Log Analytics-werkruimte hebt, maakt u een nieuwe werkruimte en installeert u Microsoft Sentinel.
Maak een app-registratie om te verifiëren bij de API.
Maak een aangepaste logboektabel om de gegevens op te slaan en geef een gegevensvoorbeeld op. In deze stap kunt u ook een transformatie definiëren voordat de gegevens worden opgenomen.
Verzamel informatie uit de regel voor gegevensverzameling en wijs machtigingen toe aan de regel.
Wijzig de tabel van Analytics in Basislogboeken.
Voer het aangepaste logboekopnamescript uit. Het script vraagt om de volgende details:
- Pad naar de logboekbestanden die moeten worden opgenomen
- Tenant-id van Microsoft Entra
- Toepassings-id
- Toepassingsgeheim
- DCE-eindpunt (gebruik de eindpunt-URI voor opname van logboeken voor dcr)
- Onveranderbare DCR-id
- Naam van gegevensstroom uit dcr
Het script retourneert het aantal gebeurtenissen dat naar de werkruimte is verzonden.

Opnemen naar Azure Blob Storage

Uw historische gegevens opnemen in Azure Blob Storage (optie 3 in het bovenstaande diagram):

Installeer en configureer AzCopy op het systeem waarnaar u de logboeken hebt geëxporteerd. U kunt AzCopy ook installeren op een ander systeem dat toegang heeft tot de geëxporteerde logboeken.
Maak een Azure Blob Storage-account en kopieer de geautoriseerde Microsoft Entra ID-referenties of het Shared Access Signature-token .
Voer AzCopy uit met het mappad dat de geëxporteerde logboeken als bron bevat en de Azure Blob Storage-verbindingsreeks als uitvoer.

Volgende stappen

In dit artikel hebt u geleerd hoe u uw gegevens opneemt in het doelplatform.

Uw dashboards converteren naar werkmappen

Delen via