Przekształcanie lub dostosowywanie danych w czasie pozyskiwania w usłudze Microsoft Sentinel (wersja zapoznawcza)

W tym artykule opisano sposób konfigurowania przekształcania danych w czasie pozyskiwania i niestandardowego pozyskiwania dzienników do użycia w usłudze Microsoft Sentinel.

Przekształcanie danych w czasie pozyskiwania zapewnia klientom większą kontrolę nad pozyskanymi danymi. Uzupełnienie wstępnie skonfigurowanych, zakodowanych na stałe przepływów pracy, które tworzą standardowe tabele, przekształcanie czasu pozyskiwania dodaje możliwość filtrowania i wzbogacania tabel wyjściowych, nawet przed uruchomieniem zapytań. Niestandardowe pozyskiwanie dzienników używa niestandardowego interfejsu API dziennika do normalizacji dzienników w formacie niestandardowym, aby można je było pozyskać do określonych standardowych tabel lub alternatywnie w celu utworzenia niestandardowych tabel wyjściowych ze schematami zdefiniowanymi przez użytkownika na potrzeby pozyskiwania tych dzienników niestandardowych.

Te dwa mechanizmy są konfigurowane przy użyciu reguł zbierania danych (DCR) w portalu usługi Log Analytics lub za pośrednictwem interfejsu API lub szablonu usługi ARM. Ten artykuł pomoże Ci wybrać rodzaj kontrolera domeny potrzebny dla określonego łącznika danych i przekierować cię do instrukcji dla każdego scenariusza.

Wymagania wstępne

Przed rozpoczęciem konfigurowania kontrolerów domeny na potrzeby przekształcania danych:

• Dowiedz się więcej na temat przekształcania danych i kontrolerów domeny w usługach Azure Monitor i Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz:

  • Reguły zbierania danych w usłudze Azure Monitor
  • Interfejs API pozyskiwania dzienników w dziennikach usługi Azure Monitor (wersja zapoznawcza)
  • Przekształcenia w dziennikach usługi Azure Monitor (wersja zapoznawcza)
  • Przekształcanie danych w usłudze Microsoft Sentinel (wersja zapoznawcza)

• Sprawdź obsługę łącznika danych. Upewnij się, że łączniki danych są obsługiwane na potrzeby przekształcania danych.

  W naszym artykule referencyjnym dotyczącym łącznika danych zapoznaj się z sekcją dotyczącą łącznika danych, aby dowiedzieć się, które typy kontrolerów domeny są obsługiwane. Kontynuuj w tym artykule, aby dowiedzieć się, jak wybrany typ dcR wpływa na pozostałą część procesu pozyskiwania i przekształcania.

Określanie wymagań

W przypadku pozyskiwania	Trwa przekształcanie czasu pozyskiwania...	Użyj tego typu kontrolera domeny
Dane niestandardowe za pośrednictwem interfejs API pozyskiwania dzienników	Wymagania Uwzględniony w kontrolerze domeny definiującym model danych	Standardowy kontroler domeny
Wbudowane typy danych (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) korzystanie z agenta usługi Azure Monitor	Opcjonalnie W razie potrzeby dodano do kontrolera domeny, który konfiguruje sposób pozyskiwania tych danych	Standardowy kontroler domeny
Wbudowane typy danych z większości innych źródeł	Opcjonalnie W razie potrzeby dodano do kontrolera DCR dołączonego do obszaru roboczego, w którym te dane są pozyskiwane	Przekształcanie obszaru roboczego DCR

Konfigurowanie przekształcania danych

Skorzystaj z poniższych procedur z dokumentacji usług Log Analytics i Azure Monitor, aby skonfigurować kontrolery domeny przekształcania danych:

Bezpośrednie pozyskiwanie za pośrednictwem interfejsu API pozyskiwania dzienników:

• Zapoznaj się z samouczkiem dotyczącym pozyskiwania dzienników przy użyciu witryny Azure Portal.
• Zapoznaj się z samouczkiem dotyczącym pozyskiwania dzienników przy użyciu szablonów usługi Azure Resource Manager (ARM) i interfejsu API REST.

Przekształcenia obszaru roboczego:

• Zapoznaj się z samouczkiem dotyczącym konfigurowania transformacji obszaru roboczego przy użyciu witryny Azure Portal.
• Zapoznaj się z samouczkiem dotyczącym konfigurowania transformacji obszaru roboczego przy użyciu szablonów usługi Azure Resource Manager (ARM) i interfejsu API REST.

Więcej informacji na temat reguł zbierania danych:

• Struktura reguły zbierania danych w usłudze Azure Monitor (wersja zapoznawcza)
• Przekształcenia zbierania danych w usłudze Azure Monitor (wersja zapoznawcza)

Po zakończeniu wróć do usługi Microsoft Sentinel, aby sprawdzić, czy dane są pozyskiwane na podstawie nowo skonfigurowanej transformacji. Zastosowanie konfiguracji przekształcania danych może potrwać do 60 minut.

Migrowanie do przekształcania danych w czasie pozyskiwania

Jeśli obecnie masz niestandardowe łączniki danych usługi Microsoft Sentinel lub wbudowane łączniki danych oparte na interfejsie API, możesz przeprowadzić migrację do funkcji przekształcania danych w czasie pozyskiwania.

Użyj jednej z poniższych metod:

• Skonfiguruj kontroler domeny, aby zdefiniować od podstaw niestandardowe pozyskiwanie ze źródła danych do nowej tabeli. Możesz użyć tej opcji, jeśli chcesz użyć nowego schematu, który nie ma bieżących sufiksów kolumn i nie wymaga funkcji KQL w czasie zapytania w celu standaryzacji danych.

  Po sprawdzeniu, czy dane są prawidłowo pozyskiwane do nowej tabeli, możesz usunąć starszą tabelę, a także starszy łącznik danych niestandardowych.

• Kontynuuj korzystanie z tabeli niestandardowej utworzonej przez łącznik danych niestandardowych. Możesz użyć tej opcji, jeśli masz wiele niestandardowych zawartości zabezpieczeń utworzonych dla istniejącej tabeli. W takich przypadkach zobacz Migrowanie z interfejsu API modułu zbierającego dane i tabele z obsługą pól niestandardowych do dzienników niestandardowych opartych na protokole DCR w dokumentacji usługi Azure Monitor.

Następne kroki

Aby uzyskać więcej informacji na temat przekształcania danych i kontrolerów domeny, zobacz:

• Niestandardowe pozyskiwanie i przekształcanie danych w usłudze Microsoft Sentinel (wersja zapoznawcza)
• Przekształcenia zbierania danych w dziennikach usługi Azure Monitor (wersja zapoznawcza)
• Interfejs API pozyskiwania dzienników w dziennikach usługi Azure Monitor (wersja zapoznawcza)
• Struktura reguły zbierania danych w usłudze Azure Monitor (wersja zapoznawcza)
• Konfigurowanie zbierania danych dla agenta usługi Azure Monitor