Transformace nebo přizpůsobení dat v době příjmu dat v Microsoft Sentinelu (Preview)

Tento článek popisuje, jak nakonfigurovat transformaci dat v době příjmu dat a vlastní příjem dat protokolů pro použití v Microsoft Sentinelu.

Transformace dat v době příjmu dat poskytuje zákazníkům větší kontrolu nad přijatými daty. Doplnění předem nakonfigurovaných pevně zakódovaných pracovních postupů, které vytvářejí standardizované tabulky, transformace času příjmu dat přidává možnost filtrování a rozšiřování výstupních tabulek, a to i před spuštěním jakýchkoli dotazů. Příjem vlastních protokolů používá rozhraní API pro vlastní protokoly k normalizaci protokolů vlastního formátu, aby je bylo možné ingestovat do určitých standardních tabulek nebo případně vytvořit přizpůsobené výstupní tabulky s uživatelsky definovanými schématy pro ingestování těchto vlastních protokolů.

Tyto dva mechanismy se konfigurují pomocí pravidel shromažďování dat (DCR) buď na portálu Log Analytics, nebo prostřednictvím rozhraní API nebo šablony ARM. Tento článek vám pomůže zvolit, jaký druh DCR potřebujete pro konkrétní datový konektor, a směrovat vás na pokyny pro jednotlivé scénáře.

Požadavky

Než začnete konfigurovat řadiče domény pro transformaci dat:

• Přečtěte si další informace o transformaci dat a dcr ve službě Azure Monitor a Microsoft Sentinelu. Další informace naleznete v tématu:

  • Pravidla shromažďování dat ve službě Azure Monitor
  • Rozhraní API pro příjem protokolů v protokolech služby Azure Monitor (Preview)
  • Transformace v protokolech služby Azure Monitor (Preview)
  • Transformace dat v Microsoft Sentinelu (Preview)

• Ověřte podporu datového konektoru. Ujistěte se, že jsou datové konektory podporované pro transformaci dat.

  V našem referenčním článku o datovém konektoru si projděte část věnovanou datovému konektoru, abyste pochopili, jaké typy DCR jsou podporované. Pokračujte v tomto článku a seznamte se s tím, jak typ řadiče domény, který vyberete, ovlivňuje zbytek procesu příjmu dat a transformace.

Určení požadavků

Pokud ingestujete	Transformace v čase příjmu dat je...	Použít tento typ DCR
Vlastní data prostřednictvím rozhraní API pro příjem protokolů	Požaduje se Součástí DCR, který definuje datový model	Standard DCR
Předdefinované datové typy (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) pomocí agenta služby Azure Monitor	Volitelné V případě potřeby se přidá do řadiče domény, který konfiguruje způsob ingestování těchto dat.	Standard DCR
Předdefinované datové typy z většiny jiných zdrojů	Volitelné V případě potřeby se přidá do dcR připojeného k pracovnímu prostoru, kde se tato data ingestují.	DcR transformace pracovního prostoru

Konfigurace transformace dat

Pomocí následujících postupů z dokumentace k Log Analytics a Azure Monitoru nakonfigurujte řadiče domény transformace dat:

Přímé příjem dat prostřednictvím rozhraní API pro příjem protokolů:

• Projděte si kurz ingestování protokolů pomocí webu Azure Portal.
• Projděte si kurz pro ingestování protokolů pomocí šablon Azure Resource Manageru (ARM) a rozhraní REST API.

Transformace pracovních prostorů:

• Projděte si kurz konfigurace transformace pracovního prostoru pomocí webu Azure Portal.
• Projděte si kurz konfigurace transformace pracovního prostoru pomocí šablon Azure Resource Manageru (ARM) a rozhraní REST API.

Další informace o pravidlech shromažďování dat:

• Struktura pravidla shromažďování dat ve službě Azure Monitor (Preview)
• Transformace shromažďování dat ve službě Azure Monitor (Preview)

Až budete hotovi, vraťte se do Microsoft Sentinelu a ověřte, že se vaše data ingestují na základě nově nakonfigurované transformace. Použití konfigurací transformace dat může trvat až 60 minut.

Migrace na transformaci dat v čase příjmu dat

Pokud aktuálně máte vlastní datové konektory Microsoft Sentinelu nebo integrované datové konektory založené na rozhraní API, můžete chtít migrovat na použití transformace dat v době příjmu dat.

Použijte jednu z následujících metod:

• Nakonfigurujte řadič domény tak, aby definoval od nuly vlastní příjem dat ze zdroje dat do nové tabulky. Tuto možnost můžete použít, pokud chcete použít nové schéma, které nemá přípony aktuálního sloupce a nevyžaduje funkce KQL v době dotazu pro standardizaci dat.

  Jakmile ověříte, že se data správně ingestují do nové tabulky, můžete starší tabulku i starší verzi vlastního datového konektoru odstranit.

• Pokračujte v používání vlastní tabulky vytvořené vlastním datovým konektorem. Tuto možnost můžete použít, pokud máte pro existující tabulku vytvořený hodně vlastního obsahu zabezpečení. V takových případech si přečtěte téma Migrace z rozhraní API kolektoru dat a vlastních tabulek s povolenými poli do vlastních protokolů založených na DCR v dokumentaci ke službě Azure Monitor.

Další kroky

Další informace o transformaci dat a dcr najdete v tématech:

• Příjem a transformace vlastních dat v Microsoft Sentinelu (Preview)
• Transformace shromažďování dat v protokolech služby Azure Monitor (Preview)
• Rozhraní API pro příjem protokolů v protokolech služby Azure Monitor (Preview)
• Struktura pravidla shromažďování dat ve službě Azure Monitor (Preview)
• Konfigurace shromažďování dat pro agenta Služby Azure Monitor