Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure İzleme Günlükleri, Microsoft Sentinel için veri platformu görevi görür. Microsoft Sentinel alınan tüm günlükler bir Log Analytics çalışma alanında depolanır ve Kusto Sorgu Dili (KQL) ile yazılan günlük sorguları tehditleri algılamak ve ağ etkinliğinizi izlemek için kullanılır.
Log Analytics, özel veri alımı ve veri toplama kuralları (DCR) ile çalışma alanınıza alınan veriler üzerinde yüksek düzeyde denetim sağlar. DCR'ler, çalışma alanınızda depolanmadan önce verilerinizi hem toplamanıza hem de işlemenize olanak sağlar. DCR'ler hem standart Log Analytics tablolarına hem de benzersiz günlük biçimleri oluşturan veri kaynakları için özelleştirilebilir tablolara veri biçimlendirip gönderir.
Gürültüyü azaltmak ve verileri uygun depolama katmanına yönlendirmek için veri alımı sırasında verilere filtre ve bölme dönüştürmeleri uygulanabilir. Bu dönüştürmeler için DCR oluşturmanız gerekmez ve Defender portalındaki Microsoft Sentinel tablo yönetimi sayfasında tanımlanır. Daha fazla bilgi için bkz. Microsoft Sentinel'de dönüştürmeleri filtreleme ve bölme.
Microsoft Sentinel'da özel veri alımı için Azure İzleme araçları
Microsoft Sentinel, özel veri alımını denetlemek için aşağıdaki Azure İzleyici araçlarını kullanır:
Dönüştürmeler DCR'lerde tanımlanır ve çalışma alanınızda depolanmadan önce gelen verilere KQL sorguları uygular. Bu dönüşümler ilgisiz verileri filtreleyebilir, mevcut verileri analiz veya dış verilerle zenginleştirebilir ya da hassas veya kişisel bilgileri maskeleyebilir.
Günlük alımı API'si herhangi bir veri kaynağından Log Analytics çalışma alanınıza özel biçimli günlükler göndermenize ve bu günlükleri belirli standart tablolarda veya oluşturduğunuz özel biçimlendirilmiş tablolarda depolamanıza olanak tanır. Sütun adlarını ve türlerini belirtmek için bu özel tabloların oluşturulması üzerinde tam denetime sahipsiniz. API, bu veri akışlarını tanımlamak, yapılandırmak ve bunlara dönüştürme uygulamak için DCR'leri kullanır.
Not
Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanları, dönüştürmenin ne kadar veriyi filtrelediğinden bağımsız olarak Azure İzleyici'nin filtreleme alımı ücretine tabi değildir. Ancak, Microsoft Sentinel'deki dönüştürmeler aksi takdirde Azure İzleyici ile aynı sınırlamalara sahiptir. Daha fazla bilgi için bkz . Sınırlamalar ve dikkat edilmesi gerekenler.
Microsoft Sentinel'de DCR desteği
Alma zamanı dönüştürmeleri, Azure İzleyici'deki veri akışını denetleyen veri toplama kurallarında (DCR) tanımlanır. DCR'ler, Günlük alımı API'sini kullanan AMA tabanlı Sentinel bağlayıcıları ve iş akışları tarafından kullanılır. Her DCR belirli bir veri toplama senaryosunun yapılandırmasını içerir ve birden çok bağlayıcı veya kaynak tek bir DCR'yi paylaşabilir.
Çalışma alanı dönüştürme DCR'leri, dcr kullanmayan iş akışlarını destekler. Çalışma alanı dönüştürme DCR'leri desteklenen tablolar için dönüştürmeler içerir ve bu tabloya gönderilen tüm trafiğe uygulanır.
Daha fazla bilgi için bkz.:
- Azure İzleyici'de veri toplama dönüştürmeleri
- Azure İzleyici Günlüklerinde veri alımı API'sini günlüğe kaydeder
- Azure İzleyici'de veri toplama kuralları
Kullanım örnekleri ve örnek senaryolar
Azure İzleyici'deki örnek dönüştürmeler makalesi, Azure İzleyici'de alma zamanı dönüştürmelerini kullanan yaygın senaryolar için açıklama ve örnek sorgular sağlar. özellikle Microsoft Sentinel için yararlı olan senaryolar şunlardır:
Veri maliyetlerini azaltın. Veri toplamayı satırlara veya sütunlara göre filtreleyerek alım ve depolama maliyetlerini azaltın.
Verileri normalleştirme. Normalleştirilmiş sorguların performansını geliştirmek için Gelişmiş Güvenlik Bilgi Modeli (ASIM) ile günlükleri normalleştirin. Daha fazla bilgi için bkz. Alma zamanı normalleştirmesi.
Verileri zenginleştirin. Alım zamanı dönüştürmeleri, verilerinizi yapılandırılan KQL dönüşümüne eklenen ek sütunlar ile zenginleştirerek analizi geliştirmenize olanak sağlar. Ek sütunlar, mevcut sütunlardan ayrıştırılmış veya hesaplanan veriler içerebilir.
Hassas verileri kaldırın. Alma zamanı dönüşümleri, bir sosyal güvenlik numarasının veya kredi kartı numarasının son rakamları dışında tüm kişisel bilgileri maskeleme veya kaldırma gibi kişisel bilgileri maskelemek veya kaldırmak için kullanılabilir.
Microsoft Sentinel'de veri alımı akışı
Aşağıdaki görüntüde veri alma zamanı veri dönüştürme işleminin Microsoft Sentinel veri alımı akışına girdiği yer gösterilmektedir. Bu veriler standart tablolarda veya belirli bir özel tablo kümesinde desteklenebilir.
Bu görüntüde, Azure İzleyici'nin veri toplama bileşenini temsil eden bulut işlem hattı gösterilmektedir. Azure İzleyici'deki Veri toplama kurallarında (DCR) diğer veri toplama senaryolarıyla birlikte bu senaryo hakkında daha fazla bilgi edinebilirsiniz.
Microsoft Sentinel Log Analytics çalışma alanında birden çok kaynaktan veri toplar.
- Günlük alma API'sinin uç noktasından veya Azure İzleyici aracısından (AMA) toplanan veriler, alma zamanı dönüştürmesi içerebilen belirli bir DCR tarafından işlenir.
- Yerleşik veri bağlayıcılarından alınan veriler Log Analytics'te, çalışma alanı DCR'sindeki sabit kodlanmış iş akışlarının ve alım zamanı dönüşümlerinin bir bileşimi kullanılarak işlenir.
Aşağıdaki tabloda Microsoft Sentinel veri bağlayıcısı türleri için DCR desteği açıklanmaktadır:
| Veri bağlayıcısı türü | DCR desteği |
|---|---|
|
Azure İzleyici aracısı (AMA) günlükleri, örneğin: |
Aracıyla ilişkilendirilmiş bir veya daha fazla DCR |
| Günlük alımı API'sini kullanarak doğrudan alma | API çağrısında belirtilen DCR |
|
Yerleşik, API tabanlı veri bağlayıcısı, örneğin: |
Bağlayıcı için DCR oluşturuldu |
| Tanılama ayarları tabanlı bağlantılar | Desteklenen çıkış tablolarıyla çalışma alanı dönüştürme DCR |
|
Yerleşik, API tabanlı veri bağlayıcıları, örneğin: |
Şu anda desteklenmiyor |
|
Yerleşik, hizmet-hizmet veri bağlayıcıları, örneğin: |
Dönüştürmeleri destekleyen tablolar için çalışma alanı dönüştürme DCR |
İlgili içerik
Daha fazla bilgi için bkz.: