Dela via

Använda federerade datakällor i Microsoft Sentinel

När du har konfigurerat federerade dataanslutningar kan du komma åt dina federerade tabeller via flera gränssnitt i Microsoft Sentinel. Federerade tabeller används på samma sätt som andra datasjötabeller. Den här artikeln beskriver hur du visar federerade tabeller, frågar dem med hjälp av KQL (Kusto-frågespråk) och arbetar med dem i Jupyter Notebooks.

Förhandskrav

Innan du börjar ska du se till att:

Förstå namngivning av federerade tabeller

Federerade tabellnamn följer mönstret <tableName>_<connectorInstanceName>. Till exempel:

Ursprungligt tabellnamn Namn på anslutningsappsinstans Federerat tabellnamn
widgets ADLS01 widgets_ADLS01
sales_data AzureDBX01 sales_data_AzureDBX01
inventory Fabric01 inventory_Fabric01

Om flera tabeller i anslutningsappinstansen har samma tabellnamn läggs en numerisk identifierare till i anslutningsappens instansnamn, till exempel widgets_ADLS01_1 när två tabeller i anslutningsinstansen ADLS01 kallas widgets.

Använd det federerade tabellnamnet när du frågar efter data från Sentinel datasjön.

Visa federerade tabeller i tabellhantering

Tabellhanteringsvyn ger en översikt över alla tabeller i din Sentinel datasjö, inklusive federerade tabeller.

  1. Gå till Microsoft Sentinel>Konfigurationstabeller>.
  2. Välj filtret Typ .
  3. Välj Federerad och välj Använd.

Skärmbild som visar tabellhanteringsvyn filtrerad för att visa federerade tabeller.

Visa tabellinformation

Välj en tabellrad för att öppna informationspanelen. Panelen innehåller tre flikar:

Tabb Beskrivning
Översikt Grundläggande information om den federerade tabellen, inklusive källtyp och anslutningsstatus.
Datakällor Visar vilka anslutningsinstanser som tillhandahåller data för den här tabellen.
Schemat Visar kolumner, datatyper och beskrivningar för tabellens kolumner. Användare med behörighet att skriva till Data Lake System-tabellerna kan välja Uppdatera schema för att uppdatera kolumner och andra schemametadata från källan.

Skärmbild som visar den utfällbara menyn med federerad tabellinformation med översikt, datakällor och schemaflikar.

Köra frågor mot federerade tabeller med hjälp av KQL

På sidan KQL-frågor i Microsoft Sentinel kan du köra frågor mot federerade tabeller tillsammans med interna Sentinel data. Federerade tabeller stöds för KQL-jobb, interaktiva frågor och asynkrona frågor och MCP-verktyg.

  1. Gå till Microsoft Sentinel>Data lake exploration>KQL-frågor.

  2. Välj knappen Vald arbetsyta i informationsfältet.

  3. Välj Systemtabeller som en av arbetsytorna.

  4. Expandera avsnittet Systemtabeller på fliken Schema.

  5. Expandera avsnittet Federerade tabeller .

  6. Hitta federationstypen för din datakälla, till exempel Microsoft Fabric, Azure Databricks eller Azure Data Lake Storage Gen2.

  7. Expandera federationstypen för att se dina federerade tabeller.

  8. Expandera en tabell för att visa dess kolumner.

Obs!

På grund av frågeprestandaoptimering i KQL kan det ta upp till 15 minuter innan nya data i en federerad tabell blir tillgängliga för frågor.

Skärmbild som visar schemafliken KQL-frågor med federerade tabeller expanderade.

Skriva och köra frågor

Frågor mot federerade tabeller fungerar som frågor mot inbyggda lake-tabeller med några viktiga skillnader:

  • Det är möjligt att en ändring sker i schemat för en tabell i den externa källan. Detta kan resultera i ett fel under en fråga som anger att det inte finns någon kolumn. Uppdatera kolumner på sidan Tabellhantering genom att välja den federerade tabellen, välja fliken Schema och välja Uppdatera schema.

  • Federerade tabeller utan en TimeGenerated kolumn, eller där en TimeGenerated kolumn finns med data i fel format, kan inte användas i Data Lake Explorer för att välja tidsintervall med hjälp av tidsväljaren i användargränssnittet. Definiera datumfilter i brödtexten i KQL som matchar den federerade tabellens datumformat.

Skapa KQL-jobb från federerade frågor

Du kan skapa KQL-jobb baserat på frågor som använder federerade tabeller:

  1. Skriv och testa din KQL-fråga med hjälp av federerade tabeller.
  2. Välj knappen Skapa jobb i det övre högra hörnet på frågepanelen.
  3. Konfigurera jobbinställningarna, inklusive schema och utdatamål.
  4. Spara jobbet.

Obs!

  • Det går inte att skriva data till en federerad tabell. KQL-utdata skapas baserat på samma kriterier som används i dag när du skapar ett KQL-jobb, där det kan skriva ut till en ny eller befintlig tabell baserat på ditt valda mål.

  • Om federerade tabeller inte innehåller TimeGenerated kolumner, eller om dina utdata inte innehåller en TimeGenerated kolumn med ett korrekt formaterat datumvärde för varje rad, fungerar inte KQL-frågor på tabellen när den har skapats i sjön.

Federerade tabeller stöds fullt ut för KQL-jobb, asynkrona frågor och MCP-verktyg.

Skapa MCP-verktyg med federerade tabellfrågor

Du kan skapa MCP-verktyg baserat på frågor som använder federerade tabeller:

  1. Skriv och testa din KQL-fråga med hjälp av federerade tabeller.

  2. Välj knappen Spara som-verktyg ovanför frågeredigeraren.

  3. Justera frågan efter behov, till exempel parameterisera värden.

  4. Om du vill ha en referens till en federerad tabell måste du prefixa tabellnamnet med workspace("default").. Om tabellen till exempel var widgets_ADLS01visas workspace("default").widgets_ADLS01 koden för den tabellen.

  5. Spara verktyget.

Använda federerade tabeller i Jupyter Notebooks

Federerade tabeller är tillgängliga i Jupyter Notebooks via Microsoft Sentinel VS Code-tillägget.

I tillägget Microsoft Sentinel VS Code visas federerade tabeller under: Lake-tabeller>Systemtabeller>Federerade tabeller

Skärmbild som visar federerade tabeller i Microsoft Sentinel VS Code-tillägget under Systemtabeller Federerade tabeller.

När du arbetar med federerade tabeller i Jupyter Notebooks följer du samma mönster som interna systemtabeller:

  1. Använd det fullständiga tabellnamnet: Referenstabeller med formatet <tableName>_<connectorInstance> .
  2. Ange inte ett arbetsytenamn: Läsåtgärder kräver ingen arbetsytespecifikation.
  3. Skrivskyddad åtkomst: Federerade tabeller är skrivskyddade. Du kan inte skriva tillbaka data till federerade källor.

Obs!

När du har aktiverat datafederation första gången kan det ta upp till 24 timmar innan du ser federerade tabeller i Jupyter Notebooks.

Jupyter Notebook-jobb

Du kan skapa schemalagda Jupyter Notebook-jobb som använder federerade tabeller på samma sätt som du skapar ett notebook-jobb för interna Data Lake-tabeller:

  1. Utveckla notebook-filen med federerade tabellfrågor.
  2. Testa notebook-filen för att säkerställa att federerade frågor körs korrekt.
  3. Skapa ett jobb från anteckningsboken.
  4. Konfigurera jobbschemat och parametrarna.

Obs!

Notebook-jobb kan bara skriva till Sentinel arbetsytor eller systemtabeller som mål. Du kan inte skriva data till en federerad tabell.

Metodtips

Frågeoptimering

  • Använd filter tidigt: Filtrera data vid källan när det är möjligt för att minska dataöverföringen.
  • Begränsa resultatuppsättningar: Använd take eller limit satser under utvecklingen.
  • Använd projektioner: Välj bara de kolumner som du behöver för att förbättra prestandan.

Exempel: Optimerad fråga

large_dataset_adls_connector
| where EventTime >= ago(1h)           // Filter early
| where EventType == "Login"           // Reduce data volume
| project EventTime, UserId, SourceIP  // Select needed columns
| take 10000                           // Limit results

Anslutningsstrategier

  • Använd lämpliga kopplingstyper: Välj inner, leftoutereller rightouter baserat på dina behov.
  • Filtrera innan du ansluter: Minska datavolymen före kopplingsåtgärder.
  • Överväg datastorlekar: Placera den mindre tabellen till höger om kopplingen.

Felhantering

  • Kontrollera anslutningsstatus: Kontrollera att federerade anslutningsinstanser är anslutna innan du frågar.
  • Hantera null-värden: Externa data kan innehålla oväntade nullvärden. användning coalesce() eller isnull() funktioner.
  • Övervaka frågeprestanda: Spåra körningstider för federerade frågor för att identifiera prestandaproblem.

Felsökning

Frågan returnerar inga resultat

  • Kontrollera att anslutningsinstansen är i ett anslutet tillstånd.
  • Kontrollera att den externa datakällan är tillgänglig, tillsammans med de tabeller som är mål för frågan.
  • Kontrollera att behörigheterna inte har tagits bort från tjänstens huvudnamn eller Sentinel hanterad identitet baserat på måldatakällan.
  • Kontrollera att du använder rätt format för federerade tabellnamn.
  • Kontrollera att systemtabeller är tillgängliga i navigeringsfönstret för dina KQL-frågor eller notebook-session.

Frågan är långsam

  • Använd filter för att minska den datavolym som efterfrågas från externa källor.
  • Kontrollera den externa källans prestanda och tillgänglighet.
  • Överväg att skapa sammanfattningstabeller för data som används ofta.

Schemamatchningsfel

  • Granska tabellschemat i tabellhanteringsvyn.
  • Justera frågan för att hantera schemaskillnader.
  • Kontrollera om det externa tabellschemat har ändrats sedan anslutningsappen skapades.

Det går inte att köra MCP-verktyg för federerade tabeller

Se till att du har prefixet tabellnamnet med workspace("default"). oavsett var du refererar till en federerad tabell i MCP-verktyget.

Nästa steg

  • Last updated on