Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como configurar a transformação de dados em tempo de ingestão e a ingestão de registos personalizados para utilização no Microsoft Sentinel.
A transformação de dados em tempo de ingestão fornece aos clientes mais controlo sobre os dados ingeridos. Complementando os fluxos de trabalho pré-configurados e codificados que criam tabelas padronizadas, a transformação de tempo de ingestão adiciona a capacidade de filtrar e enriquecer as tabelas de saída, mesmo antes de executar quaisquer consultas. A ingestão de registos personalizados utiliza a API de Registo Personalizado para normalizar os registos de formato personalizado para que possam ser ingeridos em determinadas tabelas padrão ou, em alternativa, para criar tabelas de saída personalizadas com esquemas definidos pelo utilizador para ingerir estes registos personalizados.
Estes dois mecanismos são configurados através das Regras de Recolha de Dados (DCRs), quer no portal do Log Analytics, quer através da API ou do modelo do ARM. Este artigo irá ajudá-lo a escolher o tipo de DCR de que precisa para o seu conector de dados específico e direcioná-lo para as instruções para cada cenário.
Pré-requisitos
Antes de começar a configurar DCRs para transformação de dados:
Saiba mais sobre a transformação de dados e DCRs no Azure Monitor e Microsoft Sentinel. Para saber mais, confira:
Verifique o suporte do conector de dados. Certifique-se de que os conectores de dados são suportados para a transformação de dados.
No nosso artigo de referência do conector de dados, marcar a secção do conector de dados para compreender que tipos de DCRs são suportados. Continue neste artigo para compreender como o tipo de DCR selecionado afeta o resto do processo de ingestão e transformação.
Determinar os seus requisitos
| Se estiver a ingerir | A transformação do tempo de ingestão é... | Utilizar este tipo de DCR |
|---|---|---|
|
Dados personalizados através de a API de Ingestão de Registos |
DCR do Standard | |
|
Tipos de dados incorporados (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) utilizar o Agente do Azure Monitor |
DCR do Standard | |
|
Tipos de dados incorporados da maioria das outras origens |
DCR de transformação da área de trabalho |
Configurar a transformação de dados
Utilize os seguintes procedimentos da documentação do Log Analytics e do Azure Monitor para configurar os DCRs de transformação de dados:
Ingestão direta através da API de Ingestão de Registos:
- Veja um tutorial para ingerir registos com o portal do Azure.
- Veja um tutorial para ingerir registos com modelos do Azure Resource Manager (ARM) e a API REST.
Transformações da área de trabalho:
- Veja um tutorial para configurar a transformação da área de trabalho com o portal do Azure.
- Veja um tutorial para configurar a transformação da área de trabalho com modelos do Azure Resource Manager (ARM) e a API REST.-
Mais informações sobre regras de recolha de dados:
- Estrutura de uma regra de recolha de dados no Monitor do Azure (pré-visualização)
- Transformações de recolha de dados no Monitor do Azure (pré-visualização)
Quando terminar, volte a Microsoft Sentinel para verificar se os seus dados estão a ser ingeridos com base na sua transformação recentemente configurada. A aplicação das configurações de transformação de dados pode demorar até 60 minutos.
Migrar para a transformação de dados em tempo de ingestão
Se tiver atualmente conectores de dados Microsoft Sentinel personalizados ou conectores de dados incorporados baseados em API, poderá querer migrar para através da transformação de dados em tempo de ingestão.
Use um dos seguintes métodos:
Configure um DCR para definir, do zero, a ingestão personalizada da origem de dados para uma nova tabela. Poderá utilizar esta opção se quiser utilizar um novo esquema que não tenha os sufixos de coluna atuais e não exigir funções KQL de tempo de consulta para uniformizar os seus dados.
Depois de verificar que os dados são ingeridos corretamente na nova tabela, pode eliminar a tabela legada, bem como o conector de dados personalizado legado.
Continue a utilizar a tabela personalizada criada pelo conector de dados personalizado. Poderá utilizar esta opção se tiver muitos conteúdos de segurança personalizados criados para a sua tabela existente. Nestes casos, veja Migrar da API do Recoletor de Dados e das tabelas com campos personalizados ativados para os registos personalizados baseados em DCR na documentação do Azure Monitor.
Próximas etapas
Para obter mais informações sobre a transformação de dados e DCRs, veja:
- Ingestão e transformação de dados personalizados no Microsoft Sentinel (pré-visualização)
- Transformações de recolha de dados no Azure Monitorizar Registos (pré-visualização)
- API de ingestão de registos nos Registos do Azure Monitor (Pré-visualização)
- Estrutura de uma regra de recolha de dados no Monitor do Azure (pré-visualização)
- Configurar a recolha de dados para o Agente do Azure Monitor