將歷程記錄資料內嵌至目標平臺

  • 發行項

在先前的文章中,您已 為歷程記錄資料選取目標平臺 。 您也選取 了一個工具來傳輸您的資料 ,並將歷程記錄資料儲存在預備位置。 您現在可以開始將資料內嵌至目標平臺。

本文說明如何將歷程記錄資料內嵌至您選取的目標平臺。

從舊版 SIEM 匯出資料

一般而言,SIEM 可以將資料匯出或傾印到本機檔案系統中的檔案,因此您可以使用此方法來擷取歷程記錄資料。 設定匯出檔案的暫存位置也很重要。 您用來傳輸資料擷取的工具可以將檔案從預備位置複製到目標平臺。

此圖顯示高階匯出和擷取程式。

Diagram illustrating steps involved in export and ingestion.

若要從您目前的 SIEM 匯出資料,請參閱下列其中一節:

內嵌至 Azure 資料總管

若要將歷程記錄資料內嵌至 Azure 資料總管 (ADX) (上 圖中的 選項 1):

  1. 在匯出記錄的系統上安裝及設定 LightIngest ,或在可存取匯出記錄的另一個系統上安裝 LightIngest。 LightIngest 僅支援 Windows。
  2. 如果您沒有現有的 ADX 叢集,請建立新的叢集並複製連接字串。 瞭解如何 設定 ADX
  3. 在 ADX 中,建立資料表並定義 CSV 或 JSON 格式的架構(適用于 QRadar)。 瞭解如何建立資料表,並使用範例資料或不含範例資料 來定義架構
  4. 使用包含匯出記錄作為路徑的資料夾路徑,以及 ADX 連接字串做為輸出來執行 LightIngest 。 當您執行 LightIngest 時,請確定您提供目標 ADX 資料表名稱、將引數模式設定為 *.csv ,並將格式設定 .csv 為 (或 json 針對 QRadar)。

將資料內嵌至 Microsoft Sentinel 基本記錄

若要將歷程記錄資料內嵌到 Microsoft Sentinel 基本記錄中(上 圖中的 選項 2):

  1. 如果您沒有現有的 Log Analytics 工作區,請建立新的工作區並 安裝 Microsoft Sentinel

  2. 建立應用程式註冊以針對 API 進行驗證。

  3. 建立資料收集端點 。 此端點會作為接受資料的 API 端點。

  4. 建立自訂記錄資料表 來儲存資料,並提供資料範例。 在此步驟中,您也可以在擷取資料之前定義轉換。

  5. 從資料收集規則 收集資訊,並將許可權指派給規則。

  6. 將資料表從 [分析] 變更為 [基本記錄 ]。

  7. 執行自訂記錄擷取腳本 。 腳本會要求下列詳細資料:

    • 要內嵌的記錄檔路徑
    • Microsoft Entra 租使用者識別碼
    • Application ID
    • 應用程式祕密
    • DCE 端點
    • DCR 不彈性識別碼
    • 來自 DCR 的資料流程名稱

    腳本會傳回已傳送至工作區的事件數目。

內嵌至Azure Blob 儲存體

若要將歷程記錄資料內嵌至Azure Blob 儲存體 (上 圖中的 選項 3):

  1. 在匯出記錄的系統上安裝並設定 AzCopy 。 或者,在另一個可存取匯出記錄的系統上安裝 AzCopy。
  2. 建立Azure Blob 儲存體帳戶 ,並複製授權 的 Microsoft Entra ID 認證或 共用存取簽章 權杖。
  3. 使用包含匯出記錄做為來源的資料夾路徑,以及Azure Blob 儲存體 連接字串作為輸出來執行 AzCopy

下一步

在本文中,您已瞭解如何將資料內嵌至目標平臺。

將儀表板轉換成活頁簿