Transformación o personalización de datos en tiempo de ingesta en Microsoft Sentinel (versión preliminar)

En este artículo se describe cómo configurar la transformación de datos en tiempo de ingesta y la ingesta de registros personalizados para su uso en Microsoft Sentinel.

La transformación de datos en tiempo de ingesta proporciona a los clientes más control sobre los datos ingeridos. Al complementar los flujos de trabajo preconfigurados y codificados de forma rígida que crean tablas estandarizadas, la transformación en tiempo de ingesta agrega la capacidad de filtrar y enriquecer las tablas de salida, incluso antes de ejecutar cualquier consulta. La ingesta de registros personalizados usa la API de registros personalizados a fin de normalizar los registros de formato personalizado para que se puedan ingerir en determinadas tablas estándar o, como alternativa, para crear tablas de salida personalizadas con esquemas definidos por el usuario para ingerir estos registros personalizados.

Estos dos mecanismos se configuran mediante reglas de recopilación de datos (DCR), ya sea en el portal de Log Analytics o a través de una API o una plantilla de ARM. Este artículo le ayudará a elegir el tipo de DCR que necesita para su conector de datos concreto y le dirigirá a las instrucciones de cada escenario.

Prerrequisitos

Antes de empezar a configurar las DCR para la transformación de datos:

• Obtenga más información sobre la transformación de datos y las DCR en Azure Monitor y Microsoft Sentinel. Para obtener más información, consulte:

  • Reglas de recopilación de datos en Azure Monitor
  • API de ingesta de registros en Azure Monitor (versión preliminar)
  • Transformaciones en registros de Azure Monitor (versión preliminar)
  • Transformación de datos en Microsoft Sentinel (versión preliminar)

• Compruebe la compatibilidad del conector de datos. Asegúrese de que los conectores de datos son compatibles con la transformación de datos.

  En nuestro artículo de referencia sobre el conector de datos, consulte la sección sobre su conector de datos para comprender qué tipos de DCR se admiten. Continúe en este artículo para comprender cómo el tipo DCR que seleccione afecta al resto del proceso de ingesta y transformación.

Determinación de los requisitos

Qué se va a ingerir	Características de la transformación en tiempo de ingesta	Usar este tipo de regla de recopilación de datos (DCR)
Datos personalizados a través de la API de ingesta de registros	Requerido Se incluye en la DCR que define el modelo de datos	DCR estándar
Tipos de datos integrados (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) mediante el Agente de Azure Monitor	Opcionales Si lo desea, se agrega al DCR que configura cómo se ingieren estos datos	DCR estándar
Tipos de datos integrados de la mayoría de los demás orígenes	Opcionales Si quiere, se agrega a la DCR asociada al área de trabajo donde se ingieren estos datos	DCR de transformación del área de trabajo

Configuración de la transformación de datos

Use los procedimientos siguientes de la documentación de Log Analytics y Azure Monitor para configurar las DCR de transformación de datos:

Ingesta directa a través de la API de ingesta de registros:

• Consulte un tutorial sobre la ingesta de registros mediante Azure Portal.
• Consulte un tutorial sobre la ingesta de registros mediante plantillas de Azure Resource Manager (ARM) y la API REST.

Transformaciones del área de trabajo:

• Consulte un tutorial sobre la configuración de la transformación del área de trabajo mediante Azure Portal.
• Consulte un tutorial sobre la configuración de la transformación del área de trabajo mediante plantillas de Azure Resource Manager (ARM) y API REST.

Más información sobre las reglas de recopilación de datos:

• Estructura de una regla de recopilación de datos de Azure Monitor (versión preliminar)
• Transformaciones de recopilación de datos en Azure Monitor (versión preliminar)

Cuando haya terminado, vuelva a Microsoft Sentinel para comprobar que los datos se ingieren en función de la transformación recién configurada. Las configuraciones de la transformación de datos pueden tardar hasta 60 minutos en aplicarse.

Migración a la transformación de datos en tiempo de ingesta

Si actualmente tiene conectores de datos personalizados de Microsoft Sentinel o conectores de datos integrados basados en API, puede que quiera migrar al uso de la transformación de datos en tiempo de ingesta.

Utilice uno de los métodos siguientes:

• Configure una DCR para definir, desde cero, la ingesta personalizada desde el origen de datos a una nueva tabla. Puede usar esta opción si quiere usar un nuevo esquema que no tenga los sufijos de columna actuales y no requiera funciones de KQL en tiempo de consulta para estandarizar los datos.

  Después de comprobar que los datos se han ingerido correctamente en la nueva tabla, puede eliminar la tabla heredada, así como el conector de datos personalizado heredado.

• Siga usando la tabla personalizada que creó el conector de datos personalizado. Puede usar esta opción si tiene una gran cantidad de contenido de seguridad personalizado creado para la tabla existente. En esos casos, consulte Migración desde tablas habilitadas para campos personalizados o la API del recopilador de datos a registros personalizados basados en DCR en la documentación de Azure Monitor.

Pasos siguientes

Para obtener más información sobre la transformación de datos y las DCR, consulte:

• Ingesta y transformación de datos personalizados en Microsoft Sentinel (versión preliminar)
• Transformaciones de recopilación de datos en registros de Azure Monitor (versión preliminar)
• API de ingesta de registros en Azure Monitor (versión preliminar)
• Estructura de una regla de recopilación de datos de Azure Monitor (versión preliminar)
• Configuración de la recopilación de datos para el agente de Azure Monitor