Pozyskiwanie danych historycznych do platformy docelowej

W poprzednich artykułach wybrano platformę docelową dla danych historycznych. Wybrano również narzędzie do przesyłania danych i przechowywania danych historycznych w lokalizacji przejściowej. Teraz możesz zacząć pozyskiwać dane na platformę docelową.

W tym artykule opisano sposób pozyskiwania danych historycznych do wybranej platformy docelowej.

Eksportowanie danych ze starszego rozwiązania SIEM

Ogólnie rzecz biorąc, program SIEMs może eksportować lub zrzucać dane do pliku w lokalnym systemie plików, dzięki czemu można użyć tej metody do wyodrębnienia danych historycznych. Ważne jest również skonfigurowanie lokalizacji przejściowej dla wyeksportowanych plików. Narzędzie używane do transferu pozyskiwania danych może skopiować pliki z lokalizacji przejściowej na platformę docelową.

Na tym diagramie przedstawiono proces eksportowania i pozyskiwania wysokiego poziomu.

Diagram przedstawiający kroki związane z eksportowaniem i pozyskiwaniem.

Aby wyeksportować dane z bieżącego rozwiązania SIEM, zobacz jedną z następujących sekcji:

Pozyskiwanie do Azure Data Explorer

Aby pozyskiwać dane historyczne do Azure Data Explorer (ADX) (opcja 1 na powyższym diagramie):

  1. Zainstaluj i skonfiguruj lightingest w systemie, w którym są eksportowane dzienniki, lub zainstaluj lightingest w innym systemie, który ma dostęp do wyeksportowanych dzienników. LightIngest obsługuje tylko system Windows.
  2. Jeśli nie masz istniejącego klastra ADX, utwórz nowy klaster i skopiuj parametry połączenia. Dowiedz się, jak skonfigurować usługę ADX.
  3. W usłudze ADX utwórz tabele i zdefiniuj schemat dla formatu CSV lub JSON (dla języka QRadar). Dowiedz się, jak utworzyć tabelę i zdefiniować schemat z przykładowymi danymi lub bez przykładowych danych.
  4. Uruchom polecenie LightIngest ze ścieżką folderu zawierającą wyeksportowane dzienniki jako ścieżkę, a parametry połączenia ADX jako dane wyjściowe. Po uruchomieniu polecenia LightIngest upewnij się, że podasz docelową nazwę tabeli ADX, że wzorzec argumentu jest ustawiony na *.csv, a format jest ustawiony na .csv (lub json dla języka QRadar).

Pozyskiwanie danych do Microsoft Sentinel dzienników pomocniczych/podstawowych

Aby pozyskiwać dane historyczne do Microsoft Sentinel dzienników pomocniczych lub dzienników podstawowych (opcja 2 na powyższym diagramie):

  1. Jeśli nie masz istniejącego obszaru roboczego usługi Log Analytics, utwórz nowy obszar roboczy i zainstaluj Microsoft Sentinel.

  2. Utwórz rejestrację aplikacji w celu uwierzytelnienia w interfejsie API.

  3. Utwórz niestandardową tabelę dzienników do przechowywania danych i podaj przykład danych. W tym kroku można również zdefiniować przekształcenie przed pozyskaniem danych.

  4. Zbierz informacje z reguły zbierania danych i przypisz uprawnienia do reguły.

  5. Zmień tabelę z Analytics na Dzienniki pomocnicze lub Podstawowe.

  6. Uruchom skrypt pozyskiwania dzienników niestandardowych. Skrypt prosi o podanie następujących szczegółów:

    • Ścieżka do plików dziennika do pozyskiwania
    • identyfikator dzierżawy Microsoft Entra
    • Identyfikator aplikacji
    • Wpis tajny aplikacji
    • Punkt końcowy DCE (użyj identyfikatora URI punktu końcowego pozyskiwania dzienników dla dcr)
    • Niezmienny identyfikator DCR
    • Nazwa strumienia danych z usługi DCR

    Skrypt zwraca liczbę zdarzeń, które zostały wysłane do obszaru roboczego.

Pozyskiwanie do Azure Blob Storage

Aby pozyskiwać dane historyczne do Azure Blob Storage (opcja 3 na powyższym diagramie):

  1. Zainstaluj i skonfiguruj narzędzie AzCopy w systemie, do którego wyeksportowano dzienniki. Alternatywnie zainstaluj narzędzie AzCopy w innym systemie, który ma dostęp do wyeksportowanych dzienników.
  2. Utwórz konto Azure Blob Storage i skopiuj autoryzowane poświadczenia Microsoft Entra ID lub token sygnatury dostępu współdzielonego.
  3. Uruchom narzędzie AzCopy ze ścieżką folderu zawierającą wyeksportowane dzienniki jako źródło, a Azure Blob Storage parametry połączenia jako dane wyjściowe.

Następne kroki

W tym artykule przedstawiono sposób pozyskiwania danych na platformę docelową.

Konwertowanie pulpitów nawigacyjnych na skoroszyty

  • Last updated on