Поделиться через


Осуществите прием исторических данных на целевую платформу

В предыдущих статьях вы выбрали целевую платформу для своих исторических данных. Вы также выбрали средство для передачи данных и сохранили исторические данные в промежуточном расположении. Теперь можно приступать к приему данных на целевую платформу.

В этой статье описывается прием исторических данных на выбранную целевую платформу.

Экспорт данных из устаревшей SIEM

Как правило, SIEM позволяет экспортировать данные или создать их дамп в файл в локальной файловой системе, поэтому этот способ можно использовать для извлечения исторических данных. Также важно настроить промежуточное расположение для экспортированных файлов. Средство, используемое для передачи принимаемых данных, может скопировать файлы из промежуточного расположения на целевую платформу.

На этой схеме показан общий процесс экспорта и приема.

Схема шагов, необходимых для экспорта и приема данных.

Сведения об экспорте данных из текущей SIEM см. в одном из следующих разделов:

Прием данных в Azure Data Explorer

Чтобы настроить прием исторических данных в Azure Data Explorer (ADX) (вариант 1 на схеме выше), выполните указанные ниже действия.

  1. Установите и настройте LightIngest в системе, где экспортируются журналы, или установите LightIngest в другой системе, у которой есть доступ к экспортируемым журналам. LightIngest поддерживает только Windows.
  2. Если у вас нет существующего кластера ADX, создайте новый кластер и скопируйте строку подключения. Узнайте, как настроить ADX.
  3. В ADX создайте таблицы и задайте схему для формата CSV или JSON (для QRadar). Узнайте, как создать таблицу и задать схему с образцами или без образцов данных.
  4. Запустите LightIngest, указав путь к папке, которая содержит экспортированные журналы, и строку подключения ADX в качестве выходного параметра. При запуске LightIngest укажите имя целевой таблицы ADX, в качестве шаблона аргумента задайте значение *.csv, а в качестве формата — .csv (или json для QRadar).

Прием данных в базовые журналы Microsoft Sentinel

Чтобы настроить прием исторических данных в базовые журналы Microsoft Sentinel (вариант 2 на схеме выше), выполните указанные ниже действия.

  1. Если у вас нет существующей рабочей области Log Analytics, создайте новую рабочую область и установите Microsoft Sentinel.

  2. Создайте регистрацию приложения для проверки подлинности в API.

  3. Создайте пользовательскую таблицу журналов для хранения данных и предоставьте образец данных. На этом шаге также можно настроить преобразование данных перед приемом.

  4. Извлеките сведения из правила сбора данных и назначьте разрешения для правила.

  5. Измените таблицу (с аналитики на базовые журналы).

  6. Запустите скрипт приема пользовательских журналов. Скрипт запрашивает следующие сведения:

    • Путь к файлам журнала для приема
    • Идентификатор клиента Microsoft Entra
    • Application ID
    • Секрет приложения
    • Конечная точка DCE (используйте URI конечной точки приема журналов для DCR)
    • Неизменяемый идентификатор DCR
    • Имя потока данных из DCR

    Скрипт возвращает количество событий, отправленных в рабочую область.

Прием данных в хранилище BLOB-объектов Azure

Чтобы настроить прием исторических данных в Хранилище BLOB-объектов Azure (вариант 3 на схеме выше), выполните указанные ниже действия.

  1. Установите и настройте AzCopy в системе, в которую вы экспортировали журналы. Кроме того, установите AzCopy в другой системе, у которой есть доступ к экспортируемым журналам.
  2. Создайте учетную запись Хранилище BLOB-объектов Azure и скопируйте авторизованные учетные данные идентификатора Microsoft Entra илимаркер подписанного URL-адреса.
  3. Запустите AzCopy, указав в качестве источника путь к папке, которая содержит экспортированные журналы, и строку подключения к Хранилищу BLOB-объектов Azure в качестве выходного параметра.

Следующие шаги

Из этой статьи вы узнали, как обеспечить прием данных на целевую платформу.