Sdílet prostřednictvím

Ingestování historických dat do cílové platformy

  • Článek

V předchozích článcích jste vybrali cílovou platformu pro historická data. Také jste vybrali nástroj pro přenos dat a uložení historických dat do přípravného umístění. Teď můžete začít ingestovat data do cílové platformy.

Tento článek popisuje, jak ingestovat historická data do vybrané cílové platformy.

Export dat ze starší verze SIEM

Obecně platí, že siEM mohou exportovat nebo vyexportovat data do souboru v místním systému souborů, takže můžete tuto metodu použít k extrahování historických dat. Je také důležité nastavit pracovní umístění pro exportované soubory. Nástroj, který použijete k přenosu příjmu dat, může zkopírovat soubory z přípravného umístění do cílové platformy.

Tento diagram znázorňuje proces exportu a příjmu na vysoké úrovni.

Diagram znázorňující kroky související s exportem a příjmem dat

Pokud chcete exportovat data z aktuálního SIEM, přečtěte si jednu z následujících částí:

Ingestování do Azure Data Exploreru

Pokud chcete ingestovat historická data do Azure Data Exploreru (ADX) (možnost 1 v diagramu výše):

  1. Nainstalujte a nakonfigurujte LightIngest v systému, kde se exportují protokoly, nebo nainstalujte LightIngest do jiného systému, který má přístup k exportovaným protokolům. LightIngest podporuje jenom Windows.
  2. Pokud nemáte existující cluster ADX, vytvořte nový cluster a zkopírujte připojovací řetězec. Zjistěte, jak nastavit ADX.
  3. V ADX vytvořte tabulky a definujte schéma pro formát CSV nebo JSON (pro QRadar). Zjistěte, jak vytvořit tabulku a definovat schéma s ukázkovými daty nebo bez ukázkových dat.
  4. Spusťte LightIngest s cestou ke složce, která obsahuje exportované protokoly jako cestu, a jako výstup připojovací řetězec ADX. Při spuštění lightingestu se ujistěte, že zadáte název cílové tabulky ADX, že vzor argumentu je nastaven na *.csva formát je nastaven na .csv (nebo json pro QRadar).

Příjem dat do základních protokolů služby Microsoft Sentinel

Pokud chcete ingestovat historická data do základních protokolů Služby Microsoft Sentinel (možnost 2 v diagramu výše):

  1. Pokud nemáte existující pracovní prostor služby Log Analytics, vytvořte nový pracovní prostor a nainstalujte Microsoft Sentinel.

  2. Vytvořte registraci aplikace pro ověření v rozhraní API.

  3. Vytvořte vlastní tabulku protokolů pro ukládání dat a zadejte ukázku dat. V tomto kroku můžete také definovat transformaci před ingestování dat.

  4. Shromážděte informace z pravidla shromažďování dat a přiřaďte mu oprávnění.

  5. Změňte tabulku z Analýzy na základní protokoly.

  6. Spusťte vlastní skript pro příjem protokolů. Skript požádá o následující podrobnosti:

    • Cesta k souborům protokolu k ingestování
    • ID tenanta Microsoft Entra
    • ID aplikace
    • Tajný kód aplikace
    • Koncový bod DCE (použijte identifikátor URI koncového bodu příjmu protokolů pro DCR)
    • Neměnné ID DCR
    • Název datového streamu z DCR

    Skript vrátí počet událostí odeslaných do pracovního prostoru.

Ingestování do služby Azure Blob Storage

Pokud chcete ingestovat historická data do služby Azure Blob Storage (možnost 3 v diagramu výše):

  1. Nainstalujte a nakonfigurujte Nástroj AzCopy v systému, do kterého jste exportovali protokoly. Případně nainstalujte AzCopy do jiného systému, který má přístup k exportovaným protokolům.
  2. Vytvořte účet služby Azure Blob Storage a zkopírujte autorizované přihlašovací údaje Microsoft Entra ID nebo token sdíleného přístupového podpisu .
  3. Spusťte AzCopy s cestou ke složce, která obsahuje exportované protokoly jako zdroj, a jako výstup připojovací řetězec Azure Blob Storage.

Další kroky

V tomto článku jste se dozvěděli, jak ingestovat data do cílové platformy.

Převod řídicích panelů na sešity