Inserire dati storici nella piattaforma di destinazione
Negli articoli precedenti è stata selezionata una piattaforma di destinazione per i dati storici. È stato anche selezionato uno strumento per trasferire i dati e archiviare i dati storici in una posizione di gestione temporanea. È ora possibile iniziare a inserire i dati nella piattaforma di destinazione.
Questo articolo descrive come inserire i dati storici nella piattaforma di destinazione selezionata.
Esportare i dati dal sistema SIEM legacy
In generale, i SIEM possono esportare o eseguire il dump dei dati in un file nel file system locale, in modo da poter usare questo metodo per estrarre i dati storici. È anche importante configurare un percorso di gestione temporanea per i file esportati. Lo strumento usato per trasferire l'inserimento dati può copiare i file dal percorso di gestione temporanea alla piattaforma di destinazione.
Questo diagramma mostra il processo di esportazione e inserimento di alto livello.
Per esportare i dati dal sistema SIEM corrente, vedere una delle sezioni seguenti:
Inserire in Esplora dati di Azure
Per inserire i dati storici in Esplora dati di Azure (ADX) (opzione 1 nel diagramma precedente):
- Installare e configurare LightIngest nel sistema in cui vengono esportati i log o installare LightIngest in un altro sistema che ha accesso ai log esportati. LightIngest supporta solo Windows.
- Se non si dispone di un cluster ADX esistente, creare un nuovo cluster e copiare la stringa di connessione. Informazioni su come configurare ADX.
- In ADX creare tabelle e definire uno schema per il formato CSV o JSON (per QRadar). Informazioni su come creare una tabella e definire uno schema con dati di esempio o senza dati di esempio.
- Eseguire LightIngest con il percorso della cartella che include i log esportati come percorso e la stringa di connessione ADX come output. Quando si esegue LightIngest, assicurarsi di specificare il nome della tabella ADX di destinazione, che il modello di argomento sia impostato su
*.csve che il formato sia impostato su.csv(ojsonper QRadar).
Inserire dati nei log di base di Microsoft Sentinel
Per inserire i dati storici nei log di base di Microsoft Sentinel (opzione 2 nel diagramma precedente):
Se non si ha un'area di lavoro Log Analytics esistente, creare una nuova area di lavoro e installare Microsoft Sentinel.
Creare una registrazione dell'app per l'autenticazione con l'API.
Creare una tabella di log personalizzata per archiviare i dati e fornire un esempio di dati. In questo passaggio è anche possibile definire una trasformazione prima dell'inserimento dei dati.
Raccogliere informazioni dalla regola di raccolta dati e assegnare autorizzazioni alla regola.
Eseguire lo script di inserimento log personalizzato. Lo script richiede i dettagli seguenti:
- Percorso dei file di log da inserire
- Microsoft Entra tenant ID
- ID applicazione
- Segreto applicazione
- Endpoint DCE (usare l'URI dell'endpoint di inserimento dei log per il Registro Azure Container)
- ID non modificabile DCR
- Nome del flusso di dati dal Registro Azure Container
Lo script restituisce il numero di eventi inviati all'area di lavoro.
Inserire in Archiviazione BLOB di Azure
Per inserire i dati storici in Archiviazione BLOB di Azure (opzione 3 nel diagramma precedente):
- Installare e configurare AzCopy nel sistema in cui sono stati esportati i log. In alternativa, installare AzCopy in un altro sistema che ha accesso ai log esportati.
- Creare un account di Archiviazione BLOB di Azure e copiare le credenziali del Microsoft Entra ID autorizzato o il token di firma di accesso condiviso.
- Eseguire AzCopy con il percorso della cartella che include i log esportati come origine e la stringa di connessione di Archiviazione BLOB di Azure come output.
Passaggi successivi
In questo articolo è stato illustrato come inserire i dati nella piattaforma di destinazione.