Microsoft Sentinel'de veri alımı sırasında verileri dönüştürme veya özelleştirme (önizleme)

Bu makalede, Microsoft Sentinel'de kullanmak üzere alma zamanı veri dönüştürme ve özel günlük alımının nasıl yapılandırıldığı açıklanmaktadır.

Veri alma süresi dönüştürme, müşterilere alınan veriler üzerinde daha fazla denetim sağlar. Standartlaştırılmış tablolar oluşturan önceden yapılandırılmış, sabit kodlanmış iş akışlarının desteklenmesi, alım zaman dönüşümü, sorgu çalıştırmadan önce bile çıkış tablolarını filtreleme ve zenginleştirme özelliği sağlar. Özel günlük alımı, özel biçimli günlükleri normalleştirmek için Özel Günlük API'sini kullanarak belirli standart tablolara alınabilmelerini sağlar veya alternatif olarak, bu özel günlükleri almak için kullanıcı tanımlı şemalarla özelleştirilmiş çıkış tabloları oluşturur.

Bu iki mekanizma, Log Analytics portalında veya API veya ARM şablonu aracılığıyla Veri Toplama Kuralları (DCR) kullanılarak yapılandırılır. Bu makale, belirli veri bağlayıcınız için ihtiyacınız olan DCR türünü seçmenize yardımcı olur ve sizi her senaryo için yönergelere yönlendirir.

Önkoşullar

DCR'leri veri dönüştürme için yapılandırmaya başlamadan önce:

• Azure İzleyici ve Microsoft Sentinel'de veri dönüştürme ve DCR'ler hakkında daha fazla bilgi edinin. Daha fazla bilgi için bkz.

  • Azure İzleyici'de veri toplama kuralları
  • Azure İzleyici Günlüklerinde günlük alma API'si (Önizleme)
  • Azure İzleyici Günlüklerindeki dönüştürmeler (önizleme)
  • Microsoft Sentinel'de veri dönüştürme (önizleme)

• Veri bağlayıcısı desteğini doğrulayın. Veri dönüştürme için veri bağlayıcılarınızın desteklendiğine emin olun.

  Veri bağlayıcısı başvuru makalemizde, desteklenen DCR türlerini anlamak için veri bağlayıcınızın bölümünü gözden geçirin. Seçtiğiniz DCR türünün alma ve dönüştürme işleminin geri kalanını nasıl etkilediğini anlamak için bu makalede devam edin.

Gereksinimlerinizi belirleme

Veri alımında	Alım zamanı dönüşümü...	Bu DCR türünü kullan
Aracılığıyla özel veriler Günlük Alımı API'si	Zorunlu Veri modelini tanımlayan DCR'ye dahil	Standart DCR
Yerleşik veri türleri (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) Azure İzleyici Aracısı'nı kullanma	İsteğe bağlı İsterseniz, bu verilerin nasıl alınacağını yapılandıran DCR'ye eklenir	Standart DCR
Yerleşik veri türleri diğer kaynakların çoğundan	İsteğe bağlı İsterseniz, bu verilerin alındığı Çalışma Alanına eklenen DCR'ye eklenir	Çalışma alanı dönüştürme DCR

Veri dönüştürmenizi yapılandırma

Veri dönüştürme DCR'lerinizi yapılandırmak için Log Analytics ve Azure İzleyici belgelerindeki aşağıdaki yordamları kullanın:

Günlük Alımı API'sini kullanarak doğrudan alma:

• Azure portalını kullanarak günlükleri alma öğreticisini gözden geçirin.
• Azure Resource Manager (ARM) şablonlarını ve REST API'sini kullanarak günlükleri alma öğreticisini gözden geçirin.

Çalışma alanı dönüştürmeleri:

• Azure portalını kullanarak çalışma alanı dönüştürmeyi yapılandırma öğreticisini inceleyin.
• Azure Resource Manager (ARM) şablonlarını ve REST API'sini kullanarak çalışma alanı dönüştürmeyi yapılandırma öğreticisini gözden geçirin.

Veri toplama kuralları hakkında daha fazla bilgi:

• Azure İzleyici'de veri toplama kuralının yapısı (önizleme)
• Azure İzleyici'de veri toplama dönüşümleri (önizleme)

İşiniz bittiğinde, yeni yapılandırdığınız dönüşüme göre verilerinizin alındığını doğrulamak için Microsoft Sentinel'e geri dönün. Veri dönüştürme yapılandırmalarının uygulanması 60 dakika kadar sürebilir.

Alma zamanı veri dönüşümüne geçiş

Şu anda özel Microsoft Sentinel veri bağlayıcılarınız veya yerleşik API tabanlı veri bağlayıcılarınız varsa alma zamanı veri dönüştürmesini kullanmaya geçiş yapmak isteyebilirsiniz.

Aşağıdaki yöntemlerden birini kullanın:

• Veri kaynağınızdan yeni bir tabloya özel alımı sıfırdan tanımlamak için bir DCR yapılandırın. Geçerli sütun sonekleri olmayan ve verilerinizi standartlaştırmak için sorgu zamanı KQL işlevleri gerektirmeyen yeni bir şema kullanmak istiyorsanız bu seçeneği kullanabilirsiniz.

  Verilerinizin yeni tabloya düzgün şekilde alındığını doğruladıktan sonra, eski tabloyu ve eski özel veri bağlayıcınızı silebilirsiniz.

• Özel veri bağlayıcınız tarafından oluşturulan özel tabloyu kullanmaya devam edin. Mevcut tablonuz için çok fazla özel güvenlik içeriği oluşturduysanız bu seçeneği kullanabilirsiniz. Bu gibi durumlarda, Azure İzleyici belgelerinde Veri Toplayıcı API'sinden ve özel alanlar özellikli tablolardan DCR tabanlı özel günlüklere geçiş yapma konusuna bakın.

Sonraki adımlar

Veri dönüştürme ve DCR'ler hakkında daha fazla bilgi için bkz:

• Microsoft Sentinel'de özel veri alımı ve dönüştürme (önizleme)
• Azure İzleyici Günlüklerinde veri toplama dönüştürmeleri (önizleme)
• Azure İzleyici Günlüklerinde günlük alma API'si (Önizleme)
• Azure İzleyici'de veri toplama kuralının yapısı (önizleme)
• Azure İzleyici Aracısı için veri toplamayı yapılandırma