Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Monitor Logs служат базой данных для Microsoft Sentinel. Все журналы, отправленные в Microsoft Sentinel, хранятся в рабочей области Log Analytics, а запросы журналов , написанные на языке запросов Kusto (KQL), используются для обнаружения угроз и мониторинга сетевой активности.
Log Analytics обеспечивает высокий уровень контроля над данными, которые поглощаются в рабочую область с помощью пользовательских правил поглощения и сбора данных (DCR). Контроллеры домена позволяют собирать и управлять данными, прежде чем они хранятся в рабочей области. Контроллеры домена как форматируют, так и отправляют данные в стандартные таблицы Log Analytics и настраиваемые таблицы для источников данных, которые создают уникальные форматы журналов.
Средства Azure Monitor для приема пользовательских данных в Microsoft Sentinel
Microsoft Sentinel использует следующие средства Azure Monitor для управления приемом пользовательских данных:
Трансформации определяются в DCR и применяют запросы KQL к входящим данным, прежде чем быть сохранёнными в рабочей области. В рамках этих преобразований можно отфильтровывать ненужные данные, обогащать существующие данные с помощью аналитики или внешних данных, а также маскировать конфиденциальные или персональные данные.
API приема журналов позволяет отправлять журналы пользовательского формата из любого источника данных в рабочую область Log Analytics и хранить эти журналы либо в определенных стандартных таблицах, либо в настраиваемых таблицах, создаваемых вами. Вы полностью контролируете создание этих пользовательских таблиц, а также указываете имена и типы столбцов. API использует DCRs для определения, настройки и применения преобразований к этим потокам данных.
Примечание.
Рабочие области Log Analytics, включенные для Microsoft Sentinel, не подлежат плате за загрузку фильтрации в Azure Monitor, независимо от объема данных, отфильтрованных преобразованием. Однако преобразования в Microsoft Sentinel в противном случае имеют те же ограничения, что и Azure Monitor. Дополнительные сведения см. в разделе "Ограничения и рекомендации".
Поддержка DCR в Microsoft Sentinel
Преобразования времени приема определяются в правилах сбора данных (DCR), которые управляют потоком данных в Azure Monitor. DCR (правила сбора данных) используются соединителями и рабочими процессами Sentinel на основе AMA с помощью API приема журналов. Каждый DCR содержит конфигурацию для определенного сценария сбора данных, а несколько соединителей или источников могут совместно использовать один DCR.
Преобразующие рабочие пространства DCR поддерживают рабочие процессы, которые в противном случае не используют DCR. DCR преобразования рабочей области содержат преобразования для любых поддерживаемых таблиц и применяются ко всему трафику, направленному в эту таблицу.
Дополнительные сведения см. в разделе:
- Преобразования сбора данных в Azure Monitor
- API для сбора данных в Azure Monitor Logs
- Правила сбора данных в Azure Monitor
Варианты использования и примеры сценариев
В статье Примеры преобразований в Azure Monitor содержат описание и примеры запросов для распространенных сценариев, использующих преобразования времени приема в Azure Monitor. К сценариям, которые особенно полезны для Microsoft Sentinel, относятся:
Сокращение затрат на данные. Фильтрация сбора данных по строкам или столбцам, чтобы сократить затраты на прием и хранение.
Нормализация данных. Нормализация журналов с помощью расширенной информационной модели безопасности (ASIM) для повышения производительности нормализованных запросов. Для получения дополнительной информации см. нормализацию времени поглощения данных.
Обогащение данных. Преобразования в момент приема данных позволяют улучшить аналитику, обогащая данные дополнительными столбцами, добавленными на основе настроек преобразования KQL. Дополнительные столбцы могут включать синтаксический анализ или вычисляемые данные из существующих столбцов.
Удаление конфиденциальных данных. Трансформации на этапе загрузки можно использовать для маскирования или удаления персональных данных, таких как скрытие всех цифр, кроме последних, в номере социального страхования или кредитной карты.
Поток приема данных в Microsoft Sentinel
На следующем изображении показано, где в процессе приема данных в Microsoft Sentinel происходит преобразование данных во время их поступления. Эти данные можно поддерживать в стандартных таблицах или в определенном наборе пользовательских таблиц.
На этом рисунке показан облачный конвейер, представляющий компонент сбора данных Azure Monitor. Дополнительные сведения об этом можно узнать вместе с другими сценариями сбора данных в правилах сбора данных (DCR) в Azure Monitor.
Microsoft Sentinel собирает данные в рабочей области Log Analytics из нескольких источников.
- Данные, собранные из конечной точки API приема журналов или агента Azure Monitor (AMA), обрабатываются определенным DCR, который может включать преобразование при приеме данных.
- Данные из встроенных соединителей данных обрабатываются в Log Analytics с помощью сочетания жестко запрограммированных рабочих процессов и преобразований на этапе приема в DCR рабочей области.
В следующей таблице описана поддержка DCR для типов соединителей данных Microsoft Sentinel:
| Тип соединителя данных | Поддержка DCR |
|---|---|
|
Журналы агента Azure Monitor (AMA), например: |
Один или несколько объектов DCR, связанных с агентом |
| Прямая загрузка через API загрузки журналов | DCR, указанный в вызове API |
|
Встроенный коннектор данных на базе API, например: |
DCR, созданный для соединителя |
| Подключения на основе диагностических настроек | Преобразование рабочей области DCR с поддерживаемыми выходными таблицами |
|
Встроенные соединители данных, основанные на API, такие как: |
В настоящий момент не поддерживается |
|
Встроенные соединители данных между службами, такие как: |
Преобразование рабочей области DCR для таблиц, поддерживающих преобразования |
Связанный контент
Дополнительные сведения см. в разделе: