Dela via

Mata in historiska data till målplattformen

  • Artikel

I tidigare artiklar valde du en målplattform för dina historiska data. Du har också valt ett verktyg för att överföra dina data och lagra historiska data på en mellanlagringsplats. Nu kan du börja mata in data till målplattformen.

Den här artikeln beskriver hur du matar in dina historiska data till din valda målplattform.

Exportera data från äldre SIEM

I allmänhet kan SIEM:er exportera eller dumpa data till en fil i ditt lokala filsystem, så att du kan använda den här metoden för att extrahera historiska data. Det är också viktigt att konfigurera en mellanlagringsplats för dina exporterade filer. Verktyget som du använder för att överföra datainmatningen kan kopiera filerna från mellanlagringsplatsen till målplattformen.

Det här diagrammet visar processen för export och inmatning på hög nivå.

Diagram som illustrerar steg som ingår i export och inmatning.

Information om hur du exporterar data från din aktuella SIEM finns i något av följande avsnitt:

Mata in till Azure Data Explorer

Så här matar du in historiska data i Azure Data Explorer (ADX) (alternativ 1 i diagrammet ovan):

  1. Installera och konfigurera LightIngest i systemet där loggar exporteras eller installera LightIngest på ett annat system som har åtkomst till de exporterade loggarna. LightIngest stöder endast Windows.
  2. Om du inte har ett befintligt ADX-kluster skapar du ett nytt kluster och kopierar anslutningssträng. Lär dig hur du konfigurerar ADX.
  3. I ADX skapar du tabeller och definierar ett schema för CSV- eller JSON-format (för QRadar). Lär dig hur du skapar en tabell och definierar ett schema med exempeldata eller utan exempeldata.
  4. Kör LightIngest med mappsökvägen som innehåller exporterade loggar som sökväg och ADX-anslutningssträng som utdata. När du kör LightIngest kontrollerar du att du anger adx-måltabellens namn, att argumentmönstret är inställt på *.csvoch att formatet är inställt på .csv (eller json för QRadar).

Mata in data till Microsoft Sentinel Basic-loggar

Så här matar du in dina historiska data i Microsoft Sentinel Basic Logs (alternativ 2 i diagrammet ovan):

  1. Om du inte har någon befintlig Log Analytics-arbetsyta skapar du en ny arbetsyta och installerar Microsoft Sentinel.

  2. Skapa en appregistrering för att autentisera mot API:et.

  3. Skapa en anpassad loggtabell för att lagra data och ange ett dataexempel. I det här steget kan du också definiera en transformering innan data matas in.

  4. Samla in information från datainsamlingsregeln och tilldela behörigheter till regeln.

  5. Ändra tabellen från Analys till Grundläggande loggar.

  6. Kör skriptet för anpassad logginmatning. Skriptet ber om följande information:

    • Sökväg till loggfilerna som ska matas in
    • Klient-ID för Microsoft Entra
    • Program-ID:t
    • Programhemlighet
    • DCE-slutpunkt (Använd loggens inmatningsslutpunkts-URI för DCR)
    • DCR oföränderligt ID
    • Dataströmsnamn från DCR

    Skriptet returnerar antalet händelser som har skickats till arbetsytan.

Mata in till Azure Blob Storage

Så här matar du in historiska data i Azure Blob Storage (alternativ 3 i diagrammet ovan):

  1. Installera och konfigurera AzCopy i systemet som du exporterade loggarna till. Alternativt kan du installera AzCopy på ett annat system som har åtkomst till de exporterade loggarna.
  2. Skapa ett Azure Blob Storage-konto och kopiera de auktoriserade autentiseringsuppgifterna för Microsoft Entra-ID eller signaturtoken för delad åtkomst.
  3. Kör AzCopy med mappsökvägen som innehåller de exporterade loggarna som källa och Azure Blob Storage-anslutningssträng som utdata.

Nästa steg

I den här artikeln har du lärt dig hur du matar in dina data på målplattformen.

Konvertera dina instrumentpaneler till arbetsböcker