Ingérer des données historiques dans votre plateforme cible
Dans les articles précédents, vous avez sélectionné une plateforme cible pour vos données historiques. Vous avez également sélectionné un outil pour transférer vos données et stocker les données historiques dans un emplacement intermédiaire. Vous pouvez maintenant commencer à ingérer les données dans la plateforme cible.
Cet article explique comment ingérer vos données historiques dans votre plateforme cible sélectionnée.
Exporter des données à partir du SIEM hérité
En général, les SIEM peuvent exporter ou vider des données vers un fichier dans votre système de fichiers local. Vous pouvez ainsi utiliser cette méthode pour extraire les données historiques. Il est également important de configurer un emplacement intermédiaire pour vos fichiers exportés. L’outil que vous utilisez pour transférer l’ingestion des données peut copier les fichiers de l’emplacement intermédiaire sur la plateforme cible.
Ce diagramme montre le processus d’exportation et d’ingestion de haut niveau.
Pour exporter des données à partir de votre SIEM actuel, consultez l’une des sections suivantes :
- Exporter des données à partir d’ArcSight
- Exporter des données à partir de Splunk
- Exporter des données à partir de QRadar
Ingérer dans Azure Data Explorer
Pour ingérer vos données historiques dans Azure Data Explorer (ADX) (option 1 dans le diagramme ci-dessus) :
- Installez et configurez LightIngest sur le système où les journaux sont exportés ou installez LightIngest sur un autre système qui a accès aux journaux exportés. LightIngest prend en charge Windows uniquement.
- Si vous n’avez pas de cluster ADX existant, créez un cluster et copiez la chaîne de connexion. Découvrez comment configurer ADX.
- Dans ADX, créez des tables et définissez un schéma pour le format CSV ou JSON (pour QRadar). Découvrez comment créer une table et définir un schéma avec des exemples de données ou sans exemples de données.
- Exécutez LightIngest avec le chemin d’accès du dossier qui inclut les journaux exportés comme chemin d’accès, et la chaîne de connexion ADX comme sortie. Lorsque vous exécutez LightIngest, vérifiez que vous fournissez le nom de la table ADX cible, que le modèle d’argument est défini sur
*.csv
, et que le format est défini sur.csv
(oujson
pour QRadar).
Ingérer des données dans des journaux de base Microsoft Sentinel
Pour ingérer vos données historiques dans des journaux de base Microsoft Sentinel (option 2 dans le diagramme ci-dessus) :
Si vous n’avez pas d’espace de travail Log Analytics existant, créez un espace de travail et installez Microsoft Sentinel.
Créez une inscription d’application pour vous authentifier auprès de l’API.
Créez une table de journaux personnalisée pour stocker les données, et fournissez un exemple de données. À cette étape, vous pouvez également définir une transformation avant l’ingestion des données.
Collectez des informations à partir de la règle de collecte de données et attribuez des autorisations à la règle.
Exécutez le script d’ingestion de journal personnalisé. Le script demande les détails suivants :
- Chemin d’accès aux fichiers journaux à ingérer
- ID de locataire Microsoft Entra
- ID de l’application
- Secret de l’application
- Point de terminaison DCE (utiliser l'URI du point de terminaison d'ingestion des journaux pour le DCR)
- ID immuable de DCR
- Nom du flux de données provenant de DCR
Le script retourne le nombre d’événements qui ont été envoyés à l’espace de travail.
Ingérer dans Stockage Blob Azure
Pour ingérer vos données historiques dans Stockage Blob Azure (option 3 dans le diagramme ci-dessus) :
- Installez et configurez AzCopy sur le système vers lequel vous avez exporté les journaux. Vous pouvez également installer AzCopy sur un autre système qui a accès aux journaux exportés.
- Créez un compte Stockage Blob Azure et copiez les informations d’identification du ID Microsoft Entra autorisées ou le jeton de signature d’accès partagé.
- Exécutez AzCopy avec le chemin d’accès du dossier qui inclut les journaux exportés comme source, et la chaîne de connexion Stockage Blob Azure comme sortie.
Étapes suivantes
Dans cet article, vous avez appris à ingérer vos données dans la plateforme cible.