Przekształcanie lub dostosowywanie danych w czasie pozyskiwania w Microsoft Sentinel (wersja zapoznawcza)

W tym artykule opisano sposób konfigurowania przekształcania danych w czasie pozyskiwania i niestandardowego pozyskiwania dzienników do użycia w Microsoft Sentinel.

Przekształcanie danych w czasie pozyskiwania zapewnia klientom większą kontrolę nad pozyskiwanymi danymi. Uzupełnienie wstępnie skonfigurowanych, zakodowanych na stałe przepływów pracy, które tworzą ustandaryzowane tabele, przekształcanie czasu pozyskiwania dodaje możliwość filtrowania i wzbogacania tabel wyjściowych, nawet przed uruchomieniem jakichkolwiek zapytań. Niestandardowe pozyskiwanie dzienników używa interfejsu API dzienników niestandardowych do normalizacji dzienników w formacie niestandardowym, aby można je było pozyskiwać do niektórych standardowych tabel lub alternatywnie do tworzenia dostosowanych tabel wyjściowych ze schematami zdefiniowanymi przez użytkownika w celu pozyskiwania tych dzienników niestandardowych.

Te dwa mechanizmy są konfigurowane przy użyciu reguł zbierania danych (DCRs), w portalu usługi Log Analytics lub za pośrednictwem interfejsu API lub szablonu usługi ARM. Ten artykuł pomoże Ci wybrać rodzaj dcr potrzebny dla konkretnego łącznika danych i skierować cię do instrukcji dla każdego scenariusza.

Wymagania wstępne

Przed rozpoczęciem konfigurowania kontrolerów DOMENY na potrzeby przekształcania danych:

• Dowiedz się więcej o przekształcaniu danych i kontrolerach DOMENY w usłudze Azure Monitor i Microsoft Sentinel. Więcej informacji można znaleźć w następujących artykułach:

  • Reguły zbierania danych w usłudze Azure Monitor
  • Interfejs API pozyskiwania dzienników w dziennikach monitorowania Azure (wersja zapoznawcza)
  • Przekształcenia w dziennikach monitorowania Azure (wersja zapoznawcza)
  • Przekształcanie danych w Microsoft Sentinel (wersja zapoznawcza)

• Sprawdź obsługę łącznika danych. Upewnij się, że łączniki danych są obsługiwane w przypadku przekształcania danych.

  W naszym artykule dotyczącym łącznika danych zapoznaj się z sekcją dotyczącą łącznika danych, aby dowiedzieć się, które typy kontrolerów DOMENY są obsługiwane. Kontynuuj w tym artykule, aby zrozumieć, w jaki sposób wybrany typ DCR wpływa na resztę procesu pozyskiwania i przekształcania.

Określanie wymagań

Jeśli pozyskujesz	Trwa przekształcanie w czasie pozyskiwania...	Użyj tego typu DCR
Dane niestandardowe za pośrednictwem interfejs API pozyskiwania dzienników	Wymagany Uwzględnione w funkcji DCR definiującej model danych	Standardowa funkcja DCR
Wbudowane typy danych (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) używanie agenta monitora Azure	Opcjonalny W razie potrzeby dodano do funkcji DCR, która konfiguruje sposób pozyskiwania tych danych	Standardowa funkcja DCR
Wbudowane typy danych z większości innych źródeł	Opcjonalny W razie potrzeby dodano do kontrolera DCR dołączonego do obszaru roboczego, w którym te dane są pozyskiwane	Przekształcanie obszaru roboczego DCR

Konfigurowanie przekształcania danych

Aby skonfigurować kontrolery DOMENY przekształcania danych, skorzystaj z następujących procedur z dokumentacji usługi Log Analytics i Azure Monitor:

Bezpośrednie pozyskiwanie za pośrednictwem interfejsu API pozyskiwania dzienników:

• Zapoznaj się z samouczkiem na temat pozyskiwania dzienników przy użyciu Azure Portal.
• Zapoznaj się z samouczkiem na temat pozyskiwania dzienników przy użyciu szablonów Azure Resource Manager (ARM) i interfejsu API REST.

Przekształcenia obszaru roboczego:

• Zapoznaj się z samouczkiem dotyczącym konfigurowania przekształcania obszaru roboczego przy użyciu Azure Portal.
• Zapoznaj się z samouczkiem dotyczącym konfigurowania przekształcania obszaru roboczego przy użyciu szablonów Azure Resource Manager (ARM) i interfejsu API REST.-

Więcej informacji na temat reguł zbierania danych:

• Struktura reguły zbierania danych w monitorze Azure (wersja zapoznawcza)
• Przekształcenia zbierania danych w monitorze Azure (wersja zapoznawcza)

Po zakończeniu wróć do Microsoft Sentinel, aby sprawdzić, czy dane są pozyskiwane na podstawie nowo skonfigurowanego przekształcenia. Zastosowanie konfiguracji przekształcania danych może potrwać do 60 minut.

Migrowanie do przekształcania danych w czasie pozyskiwania

Jeśli masz obecnie niestandardowe łączniki danych Microsoft Sentinel lub wbudowane łączniki danych oparte na interfejsie API, możesz przeprowadzić migrację do korzystania z przekształcania danych w czasie pozyskiwania.

Aby to zrobić, należy skorzystać z jednej z następujących metod:

• Skonfiguruj funkcję DCR, aby zdefiniować od podstaw niestandardowe pozyskiwanie ze źródła danych do nowej tabeli. Ta opcja może być używana, jeśli chcesz użyć nowego schematu, który nie ma bieżących sufiksów kolumn i nie wymaga funkcji KQL czasu wykonywania zapytań w celu standaryzacji danych.

  Po zweryfikowaniu, że dane są prawidłowo pozyskiwane do nowej tabeli, możesz usunąć starszą tabelę, a także starszy łącznik danych niestandardowych.

• Kontynuuj korzystanie z tabeli niestandardowej utworzonej przez łącznik danych niestandardowych. Możesz użyć tej opcji, jeśli masz wiele niestandardowej zawartości zabezpieczeń utworzonej dla istniejącej tabeli. W takich przypadkach zobacz Migrate from Data Collector API and custom fields-enabled tables to DCR-based custom logs (Migrowanie z interfejsu API modułu zbierającego dane i niestandardowe tabele z obsługą pól do dzienników niestandardowych opartych na modelu DCR) w dokumentacji usługi Azure Monitor.

Następne kroki

Aby uzyskać więcej informacji na temat przekształcania danych i kontrolerów DOMENY, zobacz:

• Niestandardowe pozyskiwanie i przekształcanie danych w Microsoft Sentinel (wersja zapoznawcza)
• Przekształcenia zbierania danych w dziennikach monitorowania Azure (wersja zapoznawcza)
• Interfejs API pozyskiwania dzienników w dziennikach monitorowania Azure (wersja zapoznawcza)
• Struktura reguły zbierania danych w monitorze Azure (wersja zapoznawcza)
• Konfigurowanie zbierania danych dla agenta monitora Azure