Aracılığıyla paylaş


Geçmiş verileri hedef platformunuza alma

Önceki makalelerde geçmiş verileriniz için bir hedef platform seçtiniz. Ayrıca verilerinizi aktarmak için bir araç seçtiniz ve geçmiş verileri hazırlama konumunda depolamıştınız. Artık verileri hedef platforma alma işlemine başlayabilirsiniz.

Bu makalede, geçmiş verilerinizin seçtiğiniz hedef platforma nasıl alındığı açıklanır.

Eski SIEM'den verileri dışarı aktarma

Genel olarak, SIEM'ler verileri yerel dosya sisteminizdeki bir dosyaya dışarı aktarabilir veya dökümünü alabilir, böylece geçmiş verileri ayıklamak için bu yöntemi kullanabilirsiniz. Dışarı aktarılan dosyalarınız için bir hazırlama konumu ayarlamanız da önemlidir. Veri alımını aktarmak için kullandığınız araç, dosyaları hazırlama konumundan hedef platforma kopyalayabilir.

Bu diyagramda üst düzey dışarı aktarma ve alma işlemi gösterilmektedir.

Dışarı aktarma ve alma ile ilgili adımları gösteren diyagram.

Geçerli SIEM'inizden verileri dışarı aktarmak için aşağıdaki bölümlerden birine bakın:

Azure Veri Gezgini'a alma

Geçmiş verilerinizi Azure Veri Gezgini'a (ADX) almak için (yukarıdaki diyagramda 1. seçenek):

  1. Günlüklerin dışarı aktarıldığı sistemde LightIngest'i yükleyin ve yapılandırın veya LightIngest'i dışarı aktarılan günlüklere erişimi olan başka bir sisteme yükleyin. LightIngest yalnızca Windows'un desteklenmesine neden olur.
  2. Mevcut bir ADX kümeniz yoksa yeni bir küme oluşturun ve bağlantı dizesi kopyalayın. ADX'i ayarlamayı öğrenin.
  3. ADX'te tablolar oluşturun ve CSV veya JSON biçimi (QRadar için) için bir şema tanımlayın. Örnek verilerle veya örnek veriler olmadan tablo oluşturmayı ve şema tanımlamayı öğrenin.
  4. LightIngest'i, dışarı aktarılan günlükleri yol olarak içeren klasör yoluyla ve çıkış olarak ADX bağlantı dizesi çalıştırın. LightIngest'i çalıştırdığınızda hedef ADX tablo adını sağladığınıza, bağımsız değişken deseninin olarak ve *.csvbiçimin (veya json QRadar için) olarak ayarlandığından .csv emin olun.

Microsoft Sentinel Temel Günlüklerine veri alma

Geçmiş verilerinizi Microsoft Sentinel Temel Günlükleri'ne almak için (yukarıdaki diyagramda 2. seçenek):

  1. Mevcut bir Log Analytics çalışma alanınız yoksa yeni bir çalışma alanı oluşturun ve Microsoft Sentinel'i yükleyin.

  2. API'de kimlik doğrulaması yapmak için bir Uygulama kaydı oluşturun.

  3. Verileri depolamak ve bir veri örneği sağlamak için özel bir günlük tablosu oluşturun. Bu adımda, veriler alınmadan önce bir dönüştürme de tanımlayabilirsiniz.

  4. Veri toplama kuralından bilgi toplayın ve kurala izinler atayın.

  5. Tabloyu Analytics'ten Temel Günlükler'e değiştirin.

  6. Özel Günlük Alımı betiğini çalıştırın. Betik aşağıdaki ayrıntıları ister:

    • Alınacak günlük dosyalarının yolu
    • Microsoft Entra kiracı kimliği
    • Uygulama Kimliği
    • Uygulama gizli anahtarı
    • DCE uç noktası (DCR için günlük alma uç noktası URI'sini kullanın)
    • DCR sabit kimliği
    • DCR'den veri akışı adı

    Betik, çalışma alanına gönderilen olayların sayısını döndürür.

Azure Blob Depolama alma

Geçmiş verilerinizi Azure Blob Depolama almak için (yukarıdaki diyagramda 3. seçenek):

  1. Günlükleri dışarı aktardığınız sistemde AzCopy'yi yükleyin ve yapılandırın. Alternatif olarak, AzCopy'yi dışarı aktarılan günlüklere erişimi olan başka bir sisteme yükleyin.
  2. bir Azure Blob Depolama hesabı oluşturun ve yetkili Microsoft Entra ID kimlik bilgilerini veya Paylaşılan Erişim İmzası belirtecini kopyalayın.
  3. Kaynak olarak dışarı aktarılan günlükleri ve çıkış olarak Azure Blob Depolama bağlantı dizesi içeren klasör yolu ile AzCopy'yi çalıştırın.

Sonraki adımlar

Bu makalede, verilerinizi hedef platforma nasıl alabileceğinizi öğrendiniz.