Ingerir dados históricos na plataforma de destino

Em artigos anteriores, selecionou uma plataforma de destino para os seus dados históricos. Também selecionou uma ferramenta para transferir os seus dados e armazenou os dados históricos numa localização de teste. Agora pode começar a ingerir os dados na plataforma de destino.

Este artigo descreve como ingerir os seus dados históricos na sua plataforma de destino selecionada.

Exportar dados do SIEM legado

Em geral, os SIEMs podem exportar ou capturar dados para um ficheiro no seu sistema de ficheiros local, pelo que pode utilizar este método para extrair os dados históricos. Também é importante configurar uma localização de teste para os ficheiros exportados. A ferramenta que utiliza para transferir a ingestão de dados pode copiar os ficheiros da localização de teste para a plataforma de destino.

Este diagrama mostra o processo de exportação e ingestão de alto nível.

Para exportar dados do SIEM atual, veja uma das seguintes secções:

• Exportar dados do ArcSight
• Exportar dados do Splunk
• Exportar dados do QRadar

Ingerir para Azure Data Explorer

Para ingerir os seus dados históricos em Azure Data Explorer (ADX) (opção 1 no diagrama acima):

1. Instale e configure o LightIngest no sistema onde os registos são exportados ou instale o LightIngest noutro sistema que tenha acesso aos registos exportados. LightIngest suporta apenas o Windows.
2. Se não tiver um cluster do ADX existente, crie um novo cluster e copie o cadeia de ligação. Saiba como configurar o ADX.
3. No ADX, crie tabelas e defina um esquema para o formato CSV ou JSON (para QRadar). Saiba como criar uma tabela e definir um esquema com dados de exemplo ou sem dados de exemplo.
4. Execute LightIngest com o caminho da pasta que inclui os registos exportados como o caminho e o ADX cadeia de ligação como saída. Quando executar LightIngest, certifique-se de que fornece o nome da tabela ADX de destino, que o padrão de argumento está definido como *.csve o formato está definido como .csv (ou json para QRadar).

Ingerir dados para Microsoft Sentinel Registos Auxiliares/Básicos

Para ingerir os seus dados históricos em Microsoft Sentinel Registos Auxiliares ou Registos Básicos (opção 2 no diagrama acima):

1. Se não tiver uma área de trabalho do Log Analytics existente, crie uma nova área de trabalho e instale Microsoft Sentinel.

2. Crie um Registo de aplicações para autenticar na API.

3. Crie uma tabela de registo personalizada para armazenar os dados e fornecer um exemplo de dados. Neste passo, também pode definir uma transformação antes de os dados serem ingeridos.

4. Recolha informações da regra de recolha de dados e atribua permissões à regra.

5. Altere a tabela de Análise para Registos Auxiliares ou Básicos.

6. Execute o script ingestão de registo personalizado. O script pede os seguintes detalhes:

   • Caminho para os ficheiros de registo para ingerir
   • ID do inquilino do Microsoft Entra
   • ID da Aplicação
   • Segredo da aplicação
   • Ponto final do DCE (Utilize o URI do ponto final de ingestão de registos para o DCR)
   • ID imutável do DCR
   • Nome do fluxo de dados do DCR

   O script devolve o número de eventos que foram enviados para a área de trabalho.

Ingerir para Armazenamento de Blobs do Azure

Para ingerir os seus dados históricos em Armazenamento de Blobs do Azure (opção 3 no diagrama acima):

1. Instale e configure o AzCopy no sistema para o qual exportou os registos. Em alternativa, instale o AzCopy noutro sistema que tenha acesso aos registos exportados.
2. Crie uma conta Armazenamento de Blobs do Azure e copie as credenciais de Microsoft Entra ID autorizadas ou o token de Assinatura de Acesso Partilhado.
3. Execute o AzCopy com o caminho da pasta que inclui os registos exportados como a origem e o Armazenamento de Blobs do Azure cadeia de ligação como saída.

Passos seguintes

Neste artigo, aprendeu a ingerir os seus dados na plataforma de destino.

Converter os dashboards em livros