Преобразование или настройка данных во время приема данных в Microsoft Sentinel (предварительная версия)

В этой статье описывается, как настроить преобразование данных во время приема данных и приема данных из пользовательского журнала для использования в Microsoft Sentinel.

Преобразование данных во время приема обеспечивает клиентам лучший контроль над вводимыми данными. В дополнение к предварительно настроенным, жестко закодированным рабочим процессам, создающим стандартизированные таблицы, преобразование данных во время приема дает возможность фильтрации и обогащения выходных таблиц даже до выполнения каких-либо запросов. Прием данных из пользовательских журналов применяет пользовательский API журнала для нормализации журналов пользовательских форматов, чтобы их можно было принимать в определенные стандартные таблицы или создавать настраиваемые выходные таблицы с пользовательскими схемами для приема этих пользовательских журналов.

Эти два механизма настраиваются с помощью правил сбора данных (DCR) либо на портале Log Analytics, либо с помощью шаблона API или ARM. Эта статья поможет вам выбрать тип DCR, необходимый для конкретного соединителя данных, и направить вас к инструкциям для каждого сценария.

Необходимые компоненты

Перед началом настройки DCR для преобразования данных выполните указанные ниже действия.

• Дополнительные сведения о преобразовании данных и DCR в Azure Monitor и Microsoft Sentinel. Дополнительные сведения см. в разделе:

  • Правила сбора данных в Azure Monitor
  • API проверки журналов в журналах Azure Monitor (предварительная версия)
  • Преобразования в журналах Azure Monitor (предварительная версия)
  • Преобразование данных в Microsoft Sentinel (предварительная версия)

• Проверьте поддержку соединителя данных. Убедитесь, что соединители данных поддерживаются для преобразования данных.

  В справочнике по соединителю данных проверьте, какие типы DCR поддерживаются в разделе, посвященном соединителю данных. Продолжите читать эту статью, чтобы понять, как выбранный вами тип DCR влияет на остальной процесс приема и преобразования данных.

Определение требований

При приеме данных	Преобразования во время приема данных —...	Использовать этот тип DCR
Пользовательские данные с помощью API приема журналов	Обязательное поле Включение в DCR, определяющий модель данных	DCR категории “Стандартный”
Встроенные типы данных (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) использование агента Azure Monitor	Необязательно При необходимости добавьте в DCR, который настраивает прием этих данных.	DCR категории “Стандартный”
Встроенные типы данных Из большинства других источников	Необязательно При желании добавляется в DCR, подключенный к рабочей области, в которую поступают эти данные.	DCR преобразования рабочей области

Настройка преобразования данных

Используйте приведенные ниже процедуры из документации Log Analytics и Azure Monitor для настройки DCR преобразования данных.

Прямое прием через API приема журналов:

• Учебник с пошаговыми инструкциями по приему данных журналов с помощью портала Azure.
• Учебник с пошаговыми инструкциями по приему данных журналов с помощью шаблонов Azure Resource Manager (ARM) и REST API.

Преобразования рабочей области:

• Учебник с пошаговыми инструкциями по настройке преобразования рабочей области с помощью портала Azure.
• Учебник с пошаговыми инструкциями по настройке преобразования рабочей области с помощью шаблонов Azure Resource Manager (ARM) и REST API.

Дополнительные сведения о правилах сбора данных:

• Структура правила сбора данных в Azure Monitor (предварительная версия)
• Преобразования сбора данных в службе Azure Monitor (предварительная версия)

Когда вы закончите, вернитесь в Microsoft Sentinel, чтобы убедиться, что данные принимаются на основе только что настроенного преобразования. Для применения конфигураций преобразования данных может потребоваться до 60 минут.

Переход на преобразование данных во время приема данных

Если в настоящее время у вас есть пользовательские соединители данных Microsoft Sentinel или встроенные соединители данных на основе API, то, возможно, потребуется перейти на использование преобразования данных во время приема.

Используйте один из следующих методов:

• Настройте DCR для определения с нуля пользовательского приема данных из источника данных в новую таблицу. Этот параметр можно использовать, если вы хотите применять новую схему, которая не имеет текущих суффиксов столбцов и не требует функций KQL времени выполнения запроса для стандартизации данных.

  После того как вы убедитесь, что ваши данные правильно перенесены в новую таблицу, можно удалить прежнюю таблицу, а также прежний пользовательский соединитель данных.

• Продолжайте применять настраиваемую таблицу, созданную пользовательским соединителем данных. Этот параметр можно применять, если для существующей таблицы создано большое количество пользовательских данных безопасности. В таких случаях см. статью Миграция из API сборщика данных и таблиц с поддержкой пользовательских полей в пользовательские журналы на основе DCR в документации по Azure Monitor.

Следующие шаги

Дополнительные сведения о преобразовании данных и DCR см. в статьях:

• Прием пользовательских данных и преобразование в Microsoft Sentinel (предварительная версия)
• Преобразования сбора данных в журналах Azure Monitor (предварительная версия)
• API проверки журналов в журналах Azure Monitor (предварительная версия)
• Структура правила сбора данных в Azure Monitor (предварительная версия)
• Настройка сбора данных для агента Azure Monitor