Udostępnij za pośrednictwem

Pozyskiwanie danych historycznych na platformę docelową

  • Artykuł

W poprzednich artykułach wybrano platformę docelową dla danych historycznych. Wybrano również narzędzie do transferu danych i przechowywania danych historycznych w lokalizacji przejściowej. Teraz możesz zacząć pozyskiwać dane na platformę docelową.

W tym artykule opisano sposób pozyskiwania danych historycznych do wybranej platformy docelowej.

Eksportowanie danych ze starszej wersji rozwiązania SIEM

Ogólnie rzecz biorąc, program SIEM może eksportować lub usuwać dane do pliku w lokalnym systemie plików, dzięki czemu można użyć tej metody do wyodrębnienia danych historycznych. Ważne jest również skonfigurowanie lokalizacji przejściowej dla wyeksportowanych plików. Narzędzie używane do transferu pozyskiwania danych może skopiować pliki z lokalizacji przejściowej do platformy docelowej.

Ten diagram przedstawia ogólny proces eksportowania i pozyskiwania.

Diagram ilustrujący kroki związane z eksportowaniem i pozyskiwaniem.

Aby wyeksportować dane z bieżącego rozwiązania SIEM, zobacz jedną z następujących sekcji:

Pozyskiwanie do usługi Azure Data Explorer

Aby pozyskać dane historyczne do usługi Azure Data Explorer (ADX) (opcja 1 na powyższym diagramie):

  1. Zainstaluj i skonfiguruj narzędzie LightIngest w systemie, w którym są eksportowane dzienniki, lub zainstaluj narzędzie LightIngest w innym systemie, który ma dostęp do wyeksportowanych dzienników. LightIngest obsługuje tylko system Windows.
  2. Jeśli nie masz istniejącego klastra ADX, utwórz nowy klaster i skopiuj parametry połączenia. Dowiedz się, jak skonfigurować usługę ADX.
  3. W usłudze ADX utwórz tabele i zdefiniuj schemat dla formatu CSV lub JSON (dla QRadar). Dowiedz się, jak utworzyć tabelę i zdefiniować schemat z przykładowymi danymi lub bez przykładowych danych.
  4. Uruchom polecenie LightIngest ze ścieżką folderu zawierającą wyeksportowane dzienniki jako ścieżkę, a parametry połączenia ADX jako dane wyjściowe. Po uruchomieniu lightIngest upewnij się, że podano docelową nazwę tabeli ADX, że wzorzec argumentu jest ustawiony na *.csv, a format jest ustawiony .csv na (lub json dla QRadar).

Pozyskiwanie danych do dzienników podstawowych usługi Microsoft Sentinel

Aby pozyskać dane historyczne do dzienników podstawowych usługi Microsoft Sentinel (opcja 2 na powyższym diagramie):

  1. Jeśli nie masz istniejącego obszaru roboczego usługi Log Analytics, utwórz nowy obszar roboczy i zainstaluj usługę Microsoft Sentinel.

  2. Utwórz rejestrację aplikacji w celu uwierzytelnienia względem interfejsu API.

  3. Utwórz niestandardową tabelę dzienników do przechowywania danych i podaj przykład danych. W tym kroku można również zdefiniować przekształcenie przed pozyskiwaniem danych.

  4. Zbierz informacje z reguły zbierania danych i przypisz uprawnienia do reguły.

  5. Zmień tabelę z Analiza na Dzienniki podstawowe.

  6. Uruchom skrypt pozyskiwania dzienników niestandardowych. Skrypt prosi o następujące szczegóły:

    • Ścieżka do plików dziennika do pozyskiwania
    • Identyfikator dzierżawy entra firmy Microsoft
    • Application ID
    • Wpis tajny aplikacji
    • Punkt końcowy DCE (użyj identyfikatora URI punktu końcowego pozyskiwania dzienników dla kontrolera domeny)
    • Identyfikator niezmienny dcR
    • Nazwa strumienia danych z kontrolera domeny

    Skrypt zwraca liczbę zdarzeń, które zostały wysłane do obszaru roboczego.

Pozyskiwanie do usługi Azure Blob Storage

Aby pozyskać dane historyczne do usługi Azure Blob Storage (opcja 3 na powyższym diagramie):

  1. Zainstaluj i skonfiguruj narzędzie AzCopy w systemie, do którego wyeksportowano dzienniki. Alternatywnie zainstaluj narzędzie AzCopy w innym systemie, który ma dostęp do wyeksportowanych dzienników.
  2. Utwórz konto usługi Azure Blob Storage i skopiuj autoryzowane poświadczenia identyfikatora entra firmy Microsoft lub token sygnatury dostępu współdzielonego.
  3. Uruchom narzędzie AzCopy ze ścieżką folderu, która zawiera wyeksportowane dzienniki jako źródło, a usługa Azure Blob Storage parametry połączenia jako dane wyjściowe.

Następne kroki

W tym artykule przedstawiono sposób pozyskiwania danych na platformę docelową.

Konwertowanie pulpitów nawigacyjnych na skoroszyty