Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Monitor-loggar fungerar som dataplattform för Microsoft Sentinel. Alla loggar som matas in i Microsoft Sentinel lagras på en Log Analytics-arbetsyta, och loggfrågor skrivna i Kusto-frågespråk (KQL) används för att identifiera hot och övervaka din nätverksaktivitet.
Log Analytics ger dig en hög kontroll över de data som matas in på din arbetsyta med anpassade datainmatnings- och datainsamlingsregler (DCR). Med domänkontrollanter kan du både samla in och ändra dina data innan de lagras på din arbetsyta. DCR:er både formaterar och skickar data till både log analytics-standardtabeller och anpassningsbara tabeller för datakällor som producerar unika loggformat.
Filter- och delningstransformeringar kan tillämpas på data vid inmatningstid för att minska bruset och dirigera data till lämplig lagringsnivå. Dessa transformeringar kräver inte att du skapar en domänkontrollant och definieras på Microsoft Sentinel tabellhanteringssida i Defender-portalen. Mer information finns i Filtrera och dela transformeringar i Microsoft Sentinel.
Azure Övervaka verktyg för anpassad datainmatning i Microsoft Sentinel
Microsoft Sentinel använder följande Azure Monitor-verktyg för att styra anpassad datainmatning:
Transformeringar definieras i DCR och tillämpar KQL-frågor på inkommande data innan de lagras på din arbetsyta. Dessa transformeringar kan filtrera bort irrelevanta data, berika befintliga data med analys eller externa data eller maskera känslig eller personlig information.
Med API:et för logginmatning kan du skicka loggar i anpassat format från valfri datakälla till Log Analytics-arbetsytan och lagra loggarna antingen i vissa standardtabeller eller i anpassade formaterade tabeller som du skapar. Du har fullständig kontroll över skapandet av dessa anpassade tabeller, ned till att ange kolumnnamn och typer. API:et använder DCR:erna för att definiera, konfigurera och tillämpa transformeringar på dessa dataflöden.
Obs!
Log Analytics-arbetsytor som aktiveras för Microsoft Sentinel omfattas inte av Azure Monitors filtreringsinmatningsavgift, oavsett hur mycket data transformeringsfiltren innehåller. Transformeringar i Microsoft Sentinel har dock i annat fall samma begränsningar som Azure Monitor. Mer information finns i Begränsningar och överväganden.
DCR-stöd i Microsoft Sentinel
Inmatningstidstransformeringar definieras i datainsamlingsregler (DCR), som styr dataflödet i Azure Monitor. DOMÄNKONTROLLanter används av AMA-baserade Sentinel-anslutningsappar och arbetsflöden med hjälp av API:et för logginmatning. Varje domänkontrollant innehåller konfigurationen för ett visst datainsamlingsscenario, och flera anslutningsappar eller källor kan dela en enda domänkontrollant.
DCR:erna för arbetsytetransformering stöder arbetsflöden som annars inte använder dcrs. DCR:erna för arbetsytetransformering innehåller transformeringar för alla tabeller som stöds och tillämpas på all trafik som skickas till den tabellen.
Mer information finns i:
- Datainsamlingstransformeringar i Azure Monitor
- Loggar inmatnings-API i Azure Övervaka loggar
- Regler för datainsamling i Azure Monitor
Användningsfall och exempelscenarier
Artikeln Exempeltransformeringar i Azure Monitor innehåller beskrivnings- och exempelfrågor för vanliga scenarier med inmatningstidstransformeringar i Azure Monitor. Scenarier som är särskilt användbara för Microsoft Sentinel omfattar:
Minska datakostnaderna. Filtrera datainsamlingen efter rader eller kolumner för att minska kostnaderna för inmatning och lagring.
Normalisera data. Normalisera loggar med ASIM (Advanced Security Information Model) för att förbättra prestanda för normaliserade frågor. Mer information finns i Inmatningstidsnormalisering.
Utöka data. Med inmatningstidstransformeringar kan du förbättra analyserna genom att utöka dina data med extra kolumner som läggs till i den konfigurerade KQL-omvandlingen. Extra kolumner kan innehålla parsade eller beräknade data från befintliga kolumner.
Ta bort känsliga data. Inmatningstidstransformeringar kan användas för att maskera eller ta bort personlig information, till exempel maskering av alla utom de sista siffrorna i ett personnummer eller kreditkortsnummer.
Datainmatningsflöde i Microsoft Sentinel
Följande bild visar var datatransformering för inmatningstid anger datainmatningsflödet i Microsoft Sentinel. Dessa data kan stödjas av standardtabeller eller i en specifik uppsättning anpassade tabeller.
Den här bilden visar molnpipelinen, som representerar datainsamlingskomponenten i Azure Monitor. Du kan lära dig mer om det tillsammans med andra datainsamlingsscenarier i Datainsamlingsregler (DCR) i Azure Monitor.
Microsoft Sentinel samlar in data på Log Analytics-arbetsytan från flera källor.
- Data som samlas in från slutpunkten för logginmatnings-API:et eller Azure Monitor-agenten (AMA) bearbetas av en specifik DCR som kan innehålla en inmatningstidstransformering.
- Data från inbyggda dataanslutningar bearbetas i Log Analytics med hjälp av en kombination av hårdkodade arbetsflöden och inmatningstidstransformeringar i arbetsytans DCR.
I följande tabell beskrivs DCR-stöd för Microsoft Sentinel dataanslutningstyper:
| Typ av dataanslutning | DCR-stöd |
|---|---|
|
Azure Övervaka agentloggar (AMA), till exempel: |
En eller flera domänkontrollanter som är associerade med agenten |
| Direkt inmatning via LOGS-inmatnings-API | DCR som anges i API-anrop |
|
Inbyggd, API-baserad dataanslutning, till exempel: |
DCR har skapats för anslutningsappen |
| Diagnostikinställningar-baserade anslutningar | DCR för arbetsytetransformering med utdatatabeller som stöds |
|
Inbyggda, API-baserade dataanslutningar, till exempel: |
Stöds inte för närvarande |
|
Inbyggda dataanslutningar från tjänst till tjänst, till exempel: |
DCR för arbetsytetransformering för tabeller som stöder transformeringar |
Relaterat innehåll
Mer information finns i: