Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os Logs do Azure Monitor servem como a plataforma de dados do Microsoft Sentinel. Todos os logs ingeridos no Microsoft Sentinel são armazenados em um workspace do Log Analytics e as consultas de log escritas na KQL (Linguagem de Consulta Kusto) são usadas para detectar ameaças e monitorar sua atividade de rede.
O Log Analytics oferece um alto nível de controle sobre os dados que são ingeridos em seu workspace com DCRs (regras de ingestão de dados e coleta de dados) personalizadas. Os DCRs permitem que você colete e manipule seus dados antes que eles sejam armazenados em seu workspace. Os DCRs formatam e enviam dados para tabelas padrão do Log Analytics e tabelas personalizáveis para fontes de dados que produzem formatos de log exclusivos.
Ferramentas do Azure Monitor para ingestão de dados personalizadas no Microsoft Sentinel
O Microsoft Sentinel usa as seguintes ferramentas do Azure Monitor para controlar a ingestão de dados personalizada:
As transformações são definidas nos DCRs e aplicam consultas KQL aos dados de entrada antes de serem armazenados no seu workspace. Essas transformações podem filtrar dados irrelevantes, enriquecer dados existentes com análises ou dados externos ou mascarar informações confidenciais ou pessoais.
A API de ingestão de Logs permite que você envie logs de formato personalizado de qualquer fonte de dados para seu workspace do Log Analytics e armazene esses logs em determinadas tabelas padrão ou em tabelas formatadas personalizadas que você criar. Você tem controle total sobre a criação dessas tabelas personalizadas, até a especificação dos nomes e tipos de coluna. A API usa DCRs para definir, configurar e aplicar transformações a esses fluxos de dados.
Observação
Os workspaces do Log Analytics habilitados para o Microsoft Sentinel não estão sujeitos à taxa de ingestão de filtragem do Azure Monitor, independentemente da quantidade de dados que a transformação filtra. No entanto, as transformações no Microsoft Sentinel de outra forma têm as mesmas limitações que o Azure Monitor. Para obter mais informações, consulte Limitações e considerações.
Suporte a DCR no Microsoft Sentinel
As transformações em tempo de ingestão são definidas em DCRs (regras de coleta de dados), que controlam o fluxo de dados no Azure Monitor. Os DCRs são usados por conectores e fluxos de trabalho do Sentinel baseados em AMA usando a API de ingestão de Logs. Cada DCR contém a configuração de um cenário de coleta de dados específico, e vários conectores ou fontes podem compartilhar um único DCR.
Os DCRs de transformação do ambiente de trabalho dão suporte a fluxos de trabalho que normalmente não usam DCRs. Os DCRs de transformação do workspace contêm transformações para todas as tabelas com suporte e são aplicados a todo o tráfego enviado para essa tabela.
Para saber mais, veja:
- Transformações de coleta de dados no Azure Monitor
- API de ingestão de logs nos Logs do Azure Monitor
- Regras de coleta de dados do Azure Monitor
Casos de uso e cenários de exemplo
O artigo Transformações de exemplo no Azure Monitor fornece uma descrição e consultas de exemplo para cenários comuns usando transformações no momento da ingestão no Azure Monitor. Os cenários que são particularmente úteis para o Microsoft Sentinel incluem:
Reduza os custos de dados. Filtre a coleta de dados por linhas ou colunas para reduzir os custos de ingestão e armazenamento.
Normalizar dados. Normalize logs com o ASIM (Modelo avançado de informações de segurança) para melhorar o desempenho de consultas normalizadas. Para obter mais informações, confira Normalização de tempo de ingestão.
Enriquecer dados. As transformações durante a ingestão permitem melhorar as análises, enriquecendo seus dados com colunas extras adicionadas à transformação KQL configurada. Colunas extras podem incluir dados analisados ou calculados de colunas existentes.
Remova dados confidenciais. As transformações durante a ingestão podem ser usadas para mascarar ou remover informações pessoais, como mascarar todos os dígitos de um número de seguro social, exceto os últimos, ou de um cartão de crédito.
Fluxo de ingestão de dados no Microsoft Sentinel
A imagem a seguir mostra onde a transformação de dados de tempo de ingestão entra no fluxo de ingestão de dados no Microsoft Sentinel. Esses dados podem ter suporte em tabelas padrão ou em um conjunto específico de tabelas personalizadas.
Esta imagem mostra o pipeline de nuvem, que representa o componente de coleta de dados do Azure Monitor. Você pode saber mais sobre isso junto com outros cenários de coleta de dados em DCRs (regras de coleta de dados) no Azure Monitor.
O Microsoft Sentinel coleta dados no workspace do Log Analytics de várias fontes.
- Os dados coletados do ponto de extremidade da API de ingestão de Logs ou do agente do Azure Monitor (AMA) são processados por um DCR específico que pode incluir uma transformação no momento da ingestão.
- Os dados de conectores de dados internos são processados no Log Analytics usando uma combinação de fluxos de trabalho predeterminados e transformações realizadas no momento da ingestão no DCR do workspace.
A seguinte tabela descreve o suporte a DCR para tipos de conectores de dados do Microsoft Sentinel:
| Tipo de conector de dados | Suporte a DCR |
|---|---|
|
Logs do agente do Azure Monitor (AMA), como: |
Um ou mais DCRs associados ao agente |
| Ingestão direta por meio da API de ingestão de logs | DCR especificado na chamada à API |
|
Conector de dados integrado baseado em API, como: |
DCR criado para conector |
| Conexões baseadas em configurações de diagnóstico | DCR de transformação do workspace com tabelas de saída com suporte |
|
Conectores de dados internos baseados em API, como: |
Sem suporte no momento |
|
Conectores de dados internos de serviço a serviço, como: |
DCR de transformação do workspace para tabelas que dão suporte a transformações |
Conteúdo relacionado
Para saber mais, veja: