Partilhar via

Ingerir dados históricos na sua plataforma de destino

  • Artigo

Em artigos anteriores, você selecionou uma plataforma de destino para seus dados históricos. Você também selecionou uma ferramenta para transferir seus dados e armazenou os dados históricos em um local de preparação. Agora você pode começar a ingerir os dados na plataforma de destino.

Este artigo descreve como ingerir seus dados históricos na plataforma de destino selecionada.

Exportar dados do SIEM herdado

Em geral, os SIEMs podem exportar ou despejar dados para um arquivo em seu sistema de arquivos local, para que você possa usar esse método para extrair os dados históricos. Também é importante configurar um local de preparo para os arquivos exportados. A ferramenta que você usa para transferir a ingestão de dados pode copiar os arquivos do local de preparo para a plataforma de destino.

Este diagrama mostra o processo de exportação e ingestão de alto nível.

Diagrama ilustrando as etapas envolvidas na exportação e ingestão.

Para exportar dados do seu SIEM atual, consulte uma das seguintes seções:

Ingerir ao Azure Data Explorer

Para ingerir seus dados históricos no Azure Data Explorer (ADX) (opção 1 no diagrama acima):

  1. Instale e configure o LightIngest no sistema para o qual os logs são exportados ou instale o LightIngest em outro sistema que tenha acesso aos logs exportados. O LightIngest suporta apenas Windows.
  2. Se você não tiver um cluster ADX existente, crie um novo cluster e copie a cadeia de conexão. Saiba como configurar o ADX.
  3. No ADX, crie tabelas e defina um esquema para o formato CSV ou JSON (para QRadar). Saiba como criar uma tabela e definir um esquema com dados de exemplo ou sem dados de exemplo.
  4. Execute LightIngest com o caminho da pasta que inclui os logs exportados como o caminho e a cadeia de conexão ADX como a saída. Ao executar LightIngest, certifique-se de fornecer o nome da tabela ADX de destino, que o padrão de argumento esteja definido como *.csve que o formato esteja definido como .csv (ou json para QRadar).

Ingerir dados para logs básicos do Microsoft Sentinel

Para ingerir seus dados históricos nos Logs Básicos do Microsoft Sentinel (opção 2 no diagrama acima):

  1. Se você não tiver um espaço de trabalho existente do Log Analytics, crie um novo espaço de trabalho e instale o Microsoft Sentinel.

  2. Crie um registro de aplicativo para autenticar na API.

  3. Crie uma tabela de log personalizada para armazenar os dados e forneça uma amostra de dados. Nesta etapa, você também pode definir uma transformação antes que os dados sejam ingeridos.

  4. Colete informações da regra de coleta de dados e atribua permissões à regra.

  5. Altere a tabela de Analytics para Basic Logs.

  6. Execute o script de ingestão de log personalizado. O script pede os seguintes detalhes:

    • Caminho para os arquivos de log a serem ingeridos
    • ID do locatário Microsoft Entra
    • ID da aplicação
    • Segredo do aplicativo
    • Ponto de extremidade DCE (Use o URI do ponto de extremidade de ingestão de logs para o DCR)
    • ID imutável DCR
    • Nome do fluxo de dados do DCR

    O script retorna o número de eventos que foram enviados para o espaço de trabalho.

Ingerir ao Armazenamento de Blobs do Azure

Para ingerir seus dados históricos no Armazenamento de Blobs do Azure (opção 3 no diagrama acima):

  1. Instale e configure o AzCopy no sistema para o qual você exportou os logs. Como alternativa, instale o AzCopy em outro sistema que tenha acesso aos logs exportados.
  2. Crie uma conta de Armazenamento de Blobs do Azure e copie as credenciais autorizadas da ID do Microsoft Entra ou o token de Assinatura de Acesso Compartilhado .
  3. Execute o AzCopy com o caminho da pasta que inclui os logs exportados como origem e a cadeia de conexão do Armazenamento de Blobs do Azure como saída.

Próximos passos

Neste artigo, você aprendeu como ingerir seus dados na plataforma de destino.

Converter seus painéis em pastas de trabalho